Professional Documents
Culture Documents
MMOIRE DE STAGE
Pour lobtention du diplme de MASTRE PROFESSIONNEL
Audit Interne et Audit des Systmes dInformation
labor par :
Mr Ammar SASSI
Encadr par :
Mr Salah RIAHI
Expert daudit certifi CISA
&
Mr Ridha BOUSSAIDI
Chef de Dpartement Audit Informatique
Direction Audit - STEG
Remerciements
Dabord je tiens remercier le chef de dpartement audit informatique la direction audit interne de
la STEG Mr Ridha BOUSSAIDI de mavoir accompagn et conseill tout au long de cette priode
de stage. Je le remercie fortement pour son aide, sa disponibilit et ses prcieux conseils. Et je tiens
souligner que nos changes professionnels ont t trs enrichissants et constructifs.
Je remercie aussi Mr Salah RIAHI mon encadreur et lensemble de lquipe pdagogique du
Master
surtout Mme Samah REBAI pour sa disponibilit et son soutien quelle nous a accord au cours de
nos tudes.
Pour terminer, je remercie toutes les personnes qui ont pu maider pendant mon parcours et dont les
noms ne figurent pas sur cette page.
Sommaire
Introduction
Partie 1 : Fondements thoriques
Chapitre 1 : Laudit des systmes dinformation au cur de la fonction daudit interne
I.
II.
III.
II.
III.
Prsentation de la STEG
La Direction dAudit Interne de la STEG
Chapitre4 : laboration dun gnrateur de guides daudit sur la base de lapproche Cobit 4.1
I.
II.
Conclusion
9
10
13
15
17
24
25
27
31
32
34
35
36
37
38
40
41
44
44
45
46
47
55
60
67
69
71
79
80
81
82
83
12
18
19
19
20
21
22
26
28
48
50
52
54
57
58
68
73
77
84
Introduction
Dans une conomie postindustrielle linformation a volu dun simple support dindicateurs
financiers, conomiques et oprationnels pour devenir un lment axial et contributif la ralisation
des objectifs stratgiques des entreprises. Faisant ainsi merger la fonction informatique de
lapproche traditionnelle, qui la considre comme juste une plateforme technique assistant les
diffrentes activits de lentreprise, vers une nouvelle approche intgre, qui la traite en tant quun
composant de la chaine de valeur oprant au service des mtiers dune manire systmatique do la
notion de systme dinformation (dsormais SI). Ce constat en plus des volutions technologiques
ainsi que les diffrents challenges des entreprises face des environnements changeant ont
considrablement renforc la position des SI pour quils deviennent les garants de la bonne
performance et de la prennit des entreprises. Sur ce, le maintien des niveaux defficacit,
defficience, de qualit et de scurit levs de ces SI sera dune grande importance.
En fait les entreprises disposent dun systme de contrle interne leur permettant de mettre en place
un ensemble de dispositifs afin de sassurer de lefficacit et lefficience de leurs activits et de les
protger contre les risques et les ventuels dysfonctionnements. Ce principe se dcline aussi sur les
SI, on distingue ainsi diffrents contrles traitant les activits de ceux-ci. Ces contrles sont soit
dicts par la doctrine propre lentreprise, soit imposs par des lois et rglementations en vigueur.
Cest au niveau de leurs directions daudit interne que les entreprises cherchent perptuellement
amliorer les dispositifs de contrle mis en place en planifiant continuellement des missions daudit
afin de dtecter les points de faiblesses de ceux-ci et dapporter les corrections ncessaires. Ces
missions ont pour vocation de donner une assurance raisonnable aux dirigeants et aux responsables
des mtiers quant la bonne application de ces dispositifs et la prennit de lentreprise en gnrale.
Pour ainsi faire les auditeurs internes se rfrent lors de leurs missions des lois, des
rglementations, des rfrentiels et/ou des normes internationales prsentant des recommandations et
des bonnes pratiques tablies par des professionnels et des experts dans le domaine.
En matire des SI les auditeurs et les responsables en assurance ont leur disposition un ventail de
rfrentiels et normes qui traitent ces derniers de plusieurs perspectives tel que : la scurit, la
qualit, la performance ou visent en particulier des lments de ceux-ci, par exemple : les
services, les applications, les projets, les installations, larchitecture matrielle,
Ce prsent travail se situe dans le cadre dun stage que jai effectu chez la direction daudit interne
de la Socit Tunisienne de llectricit et de Gaz (STEG) pour lobtention du diplme de
Master Professionnel en Audit Interne et Audit des Systmes dInformation (MAIASI). La STEG,
ltablissement hte, a t parmi les premires entreprises tunisiennes intgrer la fonction daudit
interne dans sa structure (en posant la premire brique en 1972)
rglementations en vigueur, damliorer la qualit de ses services et de se protger contre les risques
et les anomalies possibles. Et en remarquant prcocement les enjeux des SI dans lconomie
moderne, elle a t la premire en Tunisie tablir une unit daudit informatique en 1985. Depuis
ces dates, la direction de laudit interne de la STEG na cess, dans le cadre dune stratgie globale
damlioration continue adopte par la direction gnrale, de chercher faire voluer ses approches,
ses mthodes et ses outils daudit.
Ma mission lors de ce stage a t de contribuer au dveloppement de la fonction daudit interne,
notamment en matire des SI, en apportant des nouvelles solutions et approches issues de mes tudes
et mes diffrentes lectures. Une tude de ltat des lieux des SI de la STEG mene au dbut de ce
stage, a montr des besoins accrus en missions daudit. Face ces besoins les responsables daudit
de la STEG se rfrent une varit de rglementations, normes et cadres de rfrence pour
planifier et excuter un grand nombre de missions daudit portant sur cet lment annuellement .
Ces missions bien quils apportent leurs contributions quant lamlioration des dispositifs de
contrle interne, reste quils ne couvrent pas intgralement les SI et leurs diffrents composants, ce
qui peut engendrer des failles intolrables. Par exemple des missions portant sur la scurit des
services, des donnes et/ou des applications ne peuvent garantir la protection des entreprises 100%
contre tous les risques qui peuvent aussi bien tre de nature humaine, managriale, matrielle,
Ainsi la question qui se pose : quelle solution peut-on mettre en uvre afin de permettre aux
auditeurs de planifier, organiser et excuter des missions daudit cohrentes, complmentaires et
couvrant lintgralit des SI?
La rponse va trouver son incarnation dans lapproche globale et systmatique du cadre de rfrence
Cobit4.1(1) grce son modle processus qui couvre lensemble des activits de la DSI(2) et intgre
toutes les ressources associes aux SI. Et pour la raison que ce cadre harmonise et unifie diffrentes
dmarches et bonnes pratiques dun grand nombre de rfrentiels et normes internationales lui valant
ainsi le titre du cadre fdrateur le plus complet. Le long de ce travail, on va essayer de prsenter et
mettre en uvre lapproche de cadre de rfrence Cobit4.1 en matire daudit des SI tout en
exploitant ses diffrents lments et lensemble de sa documentation. Le produit de ce prsent travail
concrtisera cette approche en un gnrateur de guides daudit, permettant de gnrer des
questionnaires bass sur les procdures dvaluation Cobit4.1 pour diffrentes missions daudit et
fournissant en extension un ensemble de tables de mappage afin de se rfrer dautres cadres et
normes internationales.
Ce mmoire de stage sera alors organis en deux grandes parties, une partie thorique prsentant
lapproche du cadre de rfrence Cobit4.1 en matire daudit ainsi que ses lments constitutifs, tout
en posant la lumire sur un nombre de concepts, notions et lments relatifs au sujet de ce mmoire,
tels que : le SI, le systme de contrle interne, la fonction daudit interne et sa disciple laudit des SI,
les diffrents rfrentiels et normes daudit des SI
prsenter le cadre et la mission de stage ainsi que le gnrateur de guides daudit (le produit de ce
prsent travail) et la dmarche suivie pour llaborer.
(1)
Cobit4.1 ( Control Objectives for Information and Related Technology ) cest un cadre de rfrence de contrle, de
management et daudit des SI labor par lISACA ( Information Systems Audit and Control Association ).
(2)
classes et
organises afin davoir une signification et une utilit au contexte et l'instant dsir. Plusieurs
types dinformation uvrent au sein de lorganisation dune entreprise, il y a :
l'information dcisionnelle qui assure la prise de la dcision au plus haut niveau,
l'information oprationnelle ncessaire techniquement l'excution du travail,
l'information de gestion qui dfinit les responsabilits, rles et tches,
l'information de communication qui vhicule lthique, la doctrine et les politiques.
Les diffrentes activits de lentreprise tel que : lactivit administrative, lactivit commerciale, la
production, le marketing, la comptabilit et le management utilisent linformation et la produisent
par le biais des SI. Ces derniers prsentent le cadre stratgique, managriale, technique et
oprationnel permettant de matriser et dexploiter cette variable stratgique.
Robert REIX dfinit le SI comme tant un ensemble organis de ressources : matriel, logiciel,
personnel, donnes, procdures permettant dacqurir, traiter, stocker, communiquer des
informations dans les organisations . (3)
Le SI est alors considr comme une colonne vertbrale sur laquelle se calent les diffrents autres
systmes de lentreprise (voir Figure 1). Il permet dassurer la circulation de linformation de la
direction gnrale jusquaux mtiers et de la concrtiser afin quelle puisse contribuer efficacement
la performance des activits de lentreprise et par consquence sa performance financire.
2) Primtre du systme dinformation
Il savre trs important, afin de dissiper toute confusion pour le lecteur, de faire la distinction entre
les deux notions suivantes : le SI (objet de ce mmoire) et les TI (les technologies de linformation
plus gnralement, dnommes TIC : technologies de linformation et de communication). Ces
derniers regroupent lensemble des composants matriels et logiciels ainsi ceux des rseaux
permettant et assurant la collection, la transformation, le stockage et la diffusion de linformation.
En retournant la dfinition de Robert REIX, on remarque bien que le primtre du SI intgre celui
des TI (en tant que lensemble des ressources matrielles et logiciels) et il ltend en lui associant
dautres ressources :
Le personnel : qui groupe les utilisateurs de linformation, les dcideurs, les analystes et toute
personne dont sa tche est en relation troite avec linformation.
Les donnes : qui reprsentent les lments dentre (que se soit dorigine interne ou externe)
leurs tats bruts et qui seront analyses et traites par le SI.
Les procdures(4) : qui reprsentent la manire de mettre en uvre tout ou une partie d'un
processus.
Systme d'information
Procdures
Technologies de l'information
Donnes
Ressources
matriels
Ressources
logiciels
Personnel
(4)
Par dfinition une procdure reprsente le Qui (les responsabilits) fait Quoi ? (les processus), O et Quand ? (le
planning), Comment ? (les activits), Combien ? (les investissements) et Pourquoi ? (les objectifs). (QQOQCCP).
10
oprationnelle)
au
moyen
dun
ensemble
de
ressources
technologiques,
organisationnelles et humaines.
3) La mutation de la fonction informatique
Une volution de la notion de linformatique dans lconomie moderne a transform lorganisation
de la fonction informatique dune approche classique qui la dcoupe selon lorganisation structurelle
(fonctionnelle) de lentreprise vers une nouvelle approche axe sur les mtiers et organise en
processus interconnects, donnant ainsi lieu la nouvelle notion de systme dinformation.(5)
Cette mutation a permet dinstaller le SI au cur de lorganisation de lentreprise, dsormais le SI est
devenue une variable structurante et contributive latteinte des objectifs stratgiques puisquil est
directement embarqu dans les oprations mtiers, non plus considr comme juste un support
technologique (voir Tableau 1).
(5)
11
Vision intgre
Le SI est un lment de la chaine de valeur.
Le SI est un actif de lentreprise.
Le SI est une fonction de transformation
stratgique.
Le SI est un bien collectif pour lentreprise,
partag par tous.
Le SI est un domaine transversal lentreprise,
au service de tous.
(6)
La loi SOX (loi Sarbanes-Oxley ), est une loi tabli par le snateur Paul Sarbanes et le dput Mike Oxley et
vot par le congrs amricain suite aux diffrents scandales financiers des entreprises cotes en bourse aux dbuts des
annes 2000, tels ceux d' Enron et de Worldcom ... Cette loi a pour objectif d'accrotre la responsabilit des
entreprises, de rendre la communication de l'information financire transparente et plus fiable ainsi que de lutter contre
les comportements dviants et frauduleux des entreprises.
(7)
La LSF (Loi de la Scurit Financire ), cette loi s'applique toutes les socits cotes en bourse pour le cas de la
France et comme la loi amricaine Sarbanes-Oxley elle repose principalement sur : une responsabilit accrue des
dirigeants, le renforcement du contrle interne et la rduction des sources de conflits d'intrt.
12
En rponse aux exigences de la loi SOX, les entreprises ont largement adopt lapproche et la
dmarche du cadre de contrle interne COSO(8). Ce cadre de rfrence permet via sa structure de
dployer un ensemble de dispositifs de contrle internes permettant de matriser les diffrentes
activits de lentreprise, y compris les activits informatiques. Ainsi COSO dfinit un sous-ensemble
de contrles informatiques quon peut les rpertorie en trois classes :
Les contrles informatiques au niveau de lentit : ces contrles font partie des contrles
internes et traitent les activits des SI associes aux lments suivants : les stratgies et plans
daction, les politiques et procdures, lvaluation des risques, la formation, lassurance qualit
et laudit interne.
Les contrles applicatifs (CA) : sont des contrles basiques qui se trouvent au dbut de
lchelle des contrles associs aux SI. Ils sont intgrs dans les applications mtiers (les ERP)
et ils participent aux contrles financiers. Ces contrles ont pour objectifs de vrifier les
critres suivants de linformation financire :
lexhaustivit et lexactitude,
lexistence et lapprobation,
la prsentation et lintelligibilit.
Les contrles gnraux informatiques : ces contrles sont intgrs dans les processus des SI (la
fonction informatique), ils permettent de garantir un environnement de traitement fiable et un
droulement adquat des contrles applicatifs. Ils couvrent :
le dveloppement et les modifications des applications,
laccs aux donnes et aux programmes,
les traitements informatiques.
(8)
COSO est un rfrentiel de contrle interne dfini par le Committee Of Sponsoring Organizations of the Treadway
Commission . Il est utilis notamment dans le cadre de la mise en place des dispositions relevant des lois SOX ou LSF.
Le rfrentiel initial de contrle appel COSO 1 a volu depuis 2002 vers un second corpus ax sur la gestion des risque
dnomm Entreprise Risk Management ou COSO 2.
13
Il est remarquer que ces contrles ne sont pas exhaustifs et quils sont destins assurer la fiabilit
de linformation financire et dassister les activits mtiers. Ces contrles doivent tre renforcs par
dautres dispositifs de contrle plus rigoureux et des bonnes pratiques issus dautres rfrentiels
spcialiss pour couvrir la totalit des activits de la DSI et lensemble des ressources des SI.
Dfinition de laudit interne inspire de la dfinition approuve le 21 mars 2000 par le Conseil d'Administration de
l'IFAC ( International Federation of Accountants ), cest une traduction de la dfinition en anglais approuve par lIIA
( Institute of Internal Auditors ) le 29 juin 1999.
14
Lapproche par fonction : appele audit oprationnel ou audit dvaluation, cest lexamen
dune situation ou dune fonction bien particulire (commerciale, production, financire,
comptable, sociale, gestion des ressources humaines) permettant ainsi de traiter chaque
fois un lment cl de lentreprise.
Lapproche par thme : certains sujets daudit ne correspondent ni une structure ni une
fonction bien dtermine, do cette approche par thme qui permet de planifier et dexcuter
des missions daudit spcifiques, selon les besoins de lentreprise (comme par exemple la
scurit). Cette approche permet dexaminer un ensemble de structures et de fonctions en
rponse au sujet daudit fix.
Lapproche par processus : qui consiste traiter lentreprise comme un ensemble de processus
interconnects oprants ensemble pour latteint des objectifs stratgiques fixs par la direction
gnrale. Cette approche permet de dterminer et examiner les processus qui rpondent et
contribuent la ralisation dun objectif mtier bien dtermin.
Lapproche par les risques : elle consiste identifier les diffrents risques qui peuvent porter
atteintes au bon fonctionnement de lentreprise, de les valuer, de leurs attribuer des niveaux
de priorits et de les examiner selon cet ordre. Dans cette logique une cartographie des risques
sera dresse et sur sa base des missions daudit seront planifies et excutes par ordre de
priorit des risques.
Approche
par
mtier
Approche
par
thme
Approche
par
les risques
Approche
par
processus
Approche
par
fonction
remarquer que le choix de lapproche daudit sera dcid en fonction du modle dorganisation de
lentreprise, des moyens et outils daudit dploys et en fonction des besoins de la direction et des
mtiers. Toutefois une dmarche gnrale peut tre dresse et suivie quelque soit lapproch adopte,
ce quon va prsenter par la suite.
15
16
(10)
Cette dmarche a t inspire des normes internationales et elle est axe sur les risques. Cette dmarche peut tre
appliquer pour les diffrentes autres approches daudit.
17
Description
Cest le mandat donn par la direction gnrale au service daudit, prcisant lorigine
de la mission et son tendue tout en nommant une quipe daudit.
Cette rencontre permet didentifier : les objectifs, ltendue, la nature, le dlai, les
auditeurs responsables de la mission et lorganisation ou non dune runion
douverture. Un compte rendu sera rdig et envoy aux participants.
Elle permet dtablir les premiers contacts entre les auditeurs et les audits (elle est
facultative), elle consiste unir le chef de la mission, les auditeurs, les directeurs et
les chefs services des entits audites.
Cest un contrat de prestation de services prcisant les axes dinvestigation et les
limites de la mission en les exprimant en objectifs atteindre par laudit.
Cest un document interne qui permet de dterminer, de rpartir et de planifier les
actions daudit. Il prcise les tches effectuer, les investigations mener, les
questions poser et les pratiques de bonne gestion vrifier.
La phase de ralisation : cette phase suit le programme de travail tabli dans la phase
prcdente, elle consiste mener des travaux dinvestigation et de vrification sur terrain (via
des moyens et des outils daudit), tout en suivant la chane : Faits Causes Consquences
Conclusion Recommandations, et qui seront formuls au niveau des FRAP(11). Cette
phase aboutira une apprciation du systme de contrle interne tout en relevant ses
principaux points forts et ses faiblesses.
(11)
18
FRAP
Description
Lobjectif de ce questionnaire est dvaluer les dispositifs de systme de contrle
interne pour chaque opration risque (Qui ? Quoi ? O ? Quand ? Comment ?) et de
vrifier lexistence et lefficacit de ces dispositifs.
Ils prsentent les rsultats des travaux sur terrain et sont rdiges par lauditeur pour
chaque dysfonctionnement constat, permettant de structurer le raisonnement de
lauditeur jusqu la formulation de la recommandation. Elles comprennent : les
problmes, les faits, les causes, les consquences et les recommandations. Elles
serviront comme une base pour la rdaction du rapport daudit.
Cest une prsentation orale des principales observations, faite par le chef de
lquipe daudit et destine au responsable de lentit audite. Il sera effectu la fin
du travail terrain.
Plan daction
Description
En se basant sur les FRAP et les diffrents lments probants, lauditeur formulera sa
conclusion dans ce rapport avant dtre valid par les audits.
Cette runion permettra de prsenter et de valider les constats, expliquer les
recommandations et de fixer les modalits pratiques relatives au plan daction et de
suivi de la mission.
Rdig aprs la remise des commentaires crits des audits (prvus lors de la runion
de validation et de clture). Ce rapport doit tre complet, constructif, objectif et clair.
Il doit tre publi en deux versions, un expos gnral et une synthse afin de
satisfaire aux diffrents lecteurs. Ce rapport a deux objectifs :
informer la hirarchie des conclusions de la mission et de ltat du systme
de contrle interne
assister les audits dans llaboration des plans daction afin de remdier
aux problmes et aux dysfonctionnements dtects.
Rdig par les directeurs des entits audites. Il vise mettre en uvre les
recommandations cites dans le rapport final. Pour chaque recommandation, laudit
doit exprimer sa position soit en lacceptant totalement ou partiellement (tout en
prcisant Qui fera Quoi ? ), soit en la refusant en expliquant les raisons. Ce plan
doit tre valid par le service daudit
Le suivi des recommandations : une fois le plan daction valid, le service daudit suivra sa
mise en uvre tout en communiquant les tats daction et de progrs rgulirement la
direction gnrale.
corrections et amliorations tablies dans le plan daction. Ces plans daction et de suivi
formeront un pilier de la dmarche globale damlioration continue des services, produites et
structures des entreprises en gnrale.
19
Principes
Connaitre les principes de lchantillonnage scientifique, et ne lutiliser que lorsquils sadaptent aux
mieux aux objectifs de laudit.
Connaitre la population tudie et ne fonder des opinions que sur la population chantillonne.
Ne permettre pas que des configurations particulires de la population affectent le caractre alatoire que
doit revtir lchantillon.
Faire attention, lchantillon orient vers un but (dirig) a un rle jouer, mais nen tirer pas des
conclusions pour toute la population.
Baser les estimations de taux maximaux derreurs sur ce qui est raisonnable dans un modle rel, essayer
de dterminer quel moment des signaux dalarme cesseraient de jouer.
Stratifier chaque fois que cela semble rduire la dispersion dans lchantillon.
6
7
8
9
10
Ne fixer pas sans ncessit des objectifs levs de fiabilit (niveau de confiance et de prcision). Les
contrles, la supervision, les indicateurs, les procds dauto-correction, ainsi que la conscience des faits
qu la direction et la surveillance quelle exerce, sont autant dlments qui doivent tre considrs pour
tenter de rduire ltendue des investigations daudit.
Ne sarrter pas aux rsultats statistiques, mais chercher les causes.
20
Les interviews ou entretiens : ces outils sont utiliss frquemment, ils ne doivent pas tre
confondus avec les conversations et les interrogatoires. Les conditions dune bonne interview
seront garanties en fonction du niveau de collaboration instaur entre laudit et lauditeur.
Une interview se dcompose gnralement en trois phases :
La prparation de linterview : lauditeur doit dabord prendre un rendez-vous avec son
interlocuteur, et avant de le contacter il doit collecter quelques informations
professionnelles sur lui (prendre connaissance de son interlocuteur). Aussi il doit
prparer son sujet et ses outils, il est indispensable pour chaque entretien davoir fix au
pralable les objectifs que lon souhaite atteindre avec un questionnaire dtaill ou au
moins un guide dentretien.
La conduite de linterview : une mthode efficace consiste prendre des notes au fur et
mesure, a permet de ralentir les flux dinformations et de garder des traces du
droulement de lentretien et de ces points essentiels.
Laprs interview : lauditeur doit formaliser ses notes afin de les exploiter.
Tableau 6 : Les rgles suivre dans une interview
1
2
3
4
5
Rgles
Il faut respecter la voie hirarchique. Sauf urgence exceptionnelle, lauditeur ne doit pas procder une
interview sans que le suprieur hirarchique de son interlocuteur ne soit inform.
Rappeler clairement la mission et ses objectifs. Linterlocuteur de lauditeur doit connatre le pourquoi et
le comment de linterview. Il serait dsastreux quil puisse simaginer que lon va lui tendre des questions
piges, que linterview nest en somme quun interrogatoire dguis.
Evoquer les difficults, les points faibles, les anomalies rencontres avant toute autre chose.
Recueillir son adhsion les conclusions de linterview rsumes avec linterlocuteur, avant de les
communiques sous quelque forme que ce soit sa hirarchie.
Conserver lapproche systme, en vertu de ce principe lauditeur ne sintresse pas aux hommes. On doit
donc se garder de toute question ayant un caractre subjectif et mettant en cause les personnes.
Description
Questions fermes avec un choix faire parmi plusieurs rponses prdfinies.
Questions formules de manire impliquer directement le rpondant, afin qu'il
se sente concern par la rponse.
Questions formules de manire ne pas impliquer directement le rpondant, afin
qu'il se sente libre de rpondre.
Questions la/aux rponse(s) limit(s) une liste de propositions.
Question laissant au rpondant la libert de choisir ses propres mots.
Succession de questions bases sur la mme chelle d'valuation (chelle de
Likert). L'chelle contient en gnral cinq ou sept choix de rponse qui permettent
de nuancer le degr d'accord.
1. Pas du tout d'accord
2. Pas d'accord
3. Ni en dsaccord ni d'accord
4. D'accord
5. Tout fait d'accord
remarquer que des modles de questionnaires, formuls par des experts, peuvent tre utiliss
nanmoins ces modles doivent tre adapts lentreprise et au contexte de la mission ainsi
lauditeur doit garder un recul ncessaire par rapport ces modles. remarquer aussi quun
questionnaire est une sorte de guide pour lentretien, lauditeur peut approfondir son enqute
en improvisant des questions sur la lumire des rvlations de son interlocuteur et en se basant
sur son exprience sans oublier de noter ses observations et les remarques conclues.
b) Les outils de description
Lorganigramme fonctionnel : la collecte des organigrammes de lentreprise par lauditeur
est une tche importante afin de pouvoir comprendre les responsabilits respectives du
personnel. Lauditeur est trs souvent amen mettre jour les organigrammes ou rajouter
ses propres commentaires sur les responsabilits relles. Les mots figurant dans les cases de
ces organigrammes ne sont pas des noms de personnes (organigramme hirarchique) mais des
verbes dsignant des fonctions. Cet organigramme doit aussi prsenter des descriptifs des
postes qui se considrent comme des lments importants de contrle interne.
Le diagramme de circulation des flux ou Flow-Chart : cest une reprsentation narrative ou
graphique dune suite doprations dans laquelle les diffrents documents, centres de travail, de
dcision, de responsabilit, sont reprsents par des symboles runis les uns aux autres suivant
lorganisation administrative de lentreprise. En fait llaboration de tel Flow-Chart amliore la
perception de lentreprise par le classement et le tri des donnes structures sous une forme
synthtique.
22
Ce diagramme de circulation des flux doit permettre de faire ressortir les lments suivants :
les rles et responsabilits pour chaque opration,
les points daction, de dcision et de contrle,
les descriptions des circulaires et documents similaires,
les flux de communication lintrieur et avec lextrieur de lorganisation.
La synthse de tous ces lments permettra lauditeur de mettre en vidence les contrles cls
existant au sein de lorganisation et sur lesquels il sappuiera lors de sa mission. Le document
doit donc reprsenter sans ambigut toute linformation ncessaire pour comprendre le circuit
tudi et linterprter sans avoir rechercher de renseignements complmentaires. La forme
narrative de description se rvle une mthode difficile manier et peu claire, cest pour cette
raison quune reprsentation schmatique recensant les faiblesses et forces du contrle interne
savre beaucoup plus utile. Et comme toute technique standardise, cette reprsentation doit
comprendre un certain nombre de symboles et de conventions.
Un autre avantage de cet outil, cest quil permet l'auditeur de comprendre les mthodes et
les systmes employs au sein de l'organisation, ainsi que les contrles effectus, en
mettant l'accent plus particulirement sur les procdure de circulation de l'information. Cette
comprhension des systmes (y compris systmes dinformation de lentreprise) sert de base
l'valuation
des
flux
et
contrles
III.
24
Laudit des SI forme ainsi un support la fonction daudit interne qui traite les risques oprationnels
et financiers associs aux diffrents processus mtiers de lentreprise. En gnrale plusieurs contrles
automatiques (les contrles applicatifs) font partie intgrante des diffrents applications mtiers
(ERP) dploys au sein de lorganisation, ces contrles visent garantir lefficacit et lefficience
des donnes et transactions financires. Cest au niveau des missions daudit interne que ces
contrles vont faire objet de vrification et dvaluation par rapport aux bonnes pratiques des cadres
gnrale de contrle interne, tel que COSO.
De cet angle des audits informatiques associs auront lieu au sein de ces missions, nanmoins les
risques informatiques ne seront pas tous cerns, ce qui exigent dautres missions plus spcifiques se
chargeant de la fonction informatique en particulier. Cest l quintervient la fonction audit des SI, et
qui va revoir la totalit des activits des SI, en vrifiant les contrles gnraux informatiques et
applicatifs associs aux diffrentes ressources matriels, logiciels et humaines ainsi que les
procdures et rgles de gestion tablies pour ces SI. Les auditeurs informatiques se rfreront pour
cette raison des rfrentiels daudit dits spcialement aux SI, comme le cas de cadre de rfrence
Cobit et autres standards.
2) Types de missions daudit des systmes dinformation
Daprs lenqute faite en 2007 par MAZARS(12) auprs de 134 organisations sur la diversit et
ltendu des missions daudit se portant sur les SI, une varit de missions tait recens. La figure
suivante segmente en pourcentage le primtre dintervention des auditeurs informatiques et les
types de missions couvrant les SI identifis par cette tude.
MAZARS est une entreprise internationale d'origine franaise spcialise dans l'audit, l'expertise comptable,
la fiscalit et le conseil aux entreprises.
25
Ainsi on remarque bien que ces missions daudit identifies traitent les diffrentes dimensions :
managriale, oprationnelle et technique (audit de performance-efficacit) dun SI, comme ils
traitent des objets et thmes spcifiques tels que : les donnes, les processus, les projets,
larchitecture, la scurit, la qualit, la conformit
Tableau 8 : Exemples de missions d'audit des SI
Mission
Audit de la stratgie
informatique
Audit de la fonction
informatique
Audit de lexploitant
Audit des projets
informatiques
Audit de migration
Description
Cette mission consiste sassurer que le SI est bien align avec la stratgie globale de
lentreprise et que les investissements informatiques sont bien gouverns.
Lobjectif de cette mission est de rpondre aux proccupations de la DG ou de la DSI
concernant l'organisation de la fonction informatique, son pilotage, son positionnement
dans la structure, ses relations avec les utilisateurs, ses mthodes de travail
Cette mission a pour but de s'assurer que les centres de production informatiques
(centres de services) fonctionnent de manire efficace et qu'ils sont correctement grs.
Le but de cette mission daudit cest de s'assurer que les projets informatiques se
droulent normalement et que l'enchanement des oprations se fait de manire logique
et efficace fin d'arriver en toute sret la fin de la phase de dveloppement, et afin
de dlivrer une application performante et oprationnelle.
Cette mission daudit permet de donner au management une assurance raisonnable sur
la sret de fonctionnement dune application et les contrles imbriqus dedans. Cette
mission daudit peut traiter une application comptable, de paie, de facturation,.
mais, de plus en plus souvent, on s'intresse l'audit des processus globaux de
l'entreprise comme la vente, la production, lachat, la logistique,
Le but de cette mission cest de vrifier la fiabilit des donnes et transactions
financires pris en charge par le SI et les technologiques dinformation associes.
Ce type de mission traite les infrastructures, les quipements et installations, afin de
sassurer de la validit des dispositifs mis en place pour se protger contre des
dommages et dsastres comme : les incendies, les inondations, orages
Cette mission vrifier le processus de migration dune application ou dun systme vers
des nouvelles versions ou suite des changements au niveau de linfrastructure et les
technologies de linformation, dans le but de sassurer de la prennit du SI.
Cette mission daudit a pour but de donner au management une assurance raisonnable
du niveau de risque acceptable associ des dfauts de scurit des SI et que
lentreprise peut assumer. Ce type de mission globale peut tre divis en sous-missions
daudit plus spcifiques, tel que :
Audit de la scurit physique
Audit de la scurit des applications
Audit de la scurit des services informatiques .
Ces diffrents cadres de rfrence prsentent une bibliothque complte de savoir et de bonnes
pratiques pour la gestion et la bonne gouvernance des SI, ils forment une base aux managers fin de
piloter, contrler et maintenir des SI en haute performance.
27
Ces cadres seront aussi la rfrence la quelle se pointent les auditeurs pendant leurs missions
daudit dans le but de vrifier le niveau dapplication de ces bonnes pratiques et lefficacit et
lefficience des contrles mis en place. Dans le tableau suivant on prsentera des descriptions
brves des principaux rfrentiels et normes internationales daudit des SI.
Tableau 9 : Descriptions des principaux rfrentiels et normes daudit des SI
Rfrentiel / Norme
ITIL (Information
Technology Infrastructure
Library)
CMMi (Capability
Maturity Model
integrated)
PMBOK (Project
Management Body of
Knowledge)
PRINCE2 (PRojects IN
Controlled Environments)
TOGAF (The Open
Group Architecture
Framework)
eSCM (eSourcing
Capability Model)
COSO (Committee Of
Sponsoring
Organizations)
Description
ITIL a t mis en place par lOGC ( Office of Gouvernement Commerce )
britannique. Cest un ensemble douvrages recensant les bonnes pratiques
du management tout autour des services du SI. Les tomes les plus utiliss concernent
le soutien et la fourniture des services informatiques. ITIL permet, grce son
approche processus clairement dfinie et contrle, d'amliorer la qualit des services
du SI et de l'assistance aux utilisateurs. Dans sa troisime version ITIL a met laccent
sur la matrise du cycle de vie dun service informatique.
CMMi a t conu par le SEI ( Software Engineering Institute ) de luniversit de
Carnegie Mellon. Cest un modle de rfrence, sous forme dun ensemble structur
de bonnes pratiques, destin apprhender, valuer et amliorer les activits des
entreprises d'ingnierie informatique afin de contrler la fonction de dveloppement
des applications et des logiciels.
Il se prsente comme une rfrence en matire de gestion des projets, il est dit par le
PMI ( Project Management Institute ). Ce rfrentiel est totalement complmentaire
avec des dmarches damlioration continue de type CMMi.
Cest une mthode de gestion et de certification de projet aussi structure et qui se
focalise sur trois points : l'organisation, la gestion et le contrle du projet.
Cest un ensemble de concepts et un standard industriel couvrant le domaine des
architectures informatiques d'entreprise, qui peut tre utilis par toute entreprise
souhaitant dvelopper ou modifier son architecture.
Cest un rfrentiel labore depuis 2001 par lUniversit Carnegie-Mellon/ ItSQC afin
damliorer la relation entre clients et fournisseurs dans le cadre de la fourniture de
services utilisant les technologies de linformation. Ces services sont de nature trs
diverse : infogrance, externalisation du support informatique, tierce maintenance,
fourniture de liaisons de tlcommunications
Cest un rfrentiel de contrle interne dfini par le la COSO ( Committee Of
Sponsoring Organizations of the Treadway Commission ). Il est utilis notamment
dans le cadre de la mise en place des dispositions relevant des lois SOX (pour les
entreprises cotes en bourse en USA) ou LSF (pour les entreprises franaises). Le
rfrentiel initial appel COSO1 reprsente un framework de gestion des objectifs
de conformit configurable toute rglementation. Lapproche COSO est structure en
trois axes : le premier pour lvaluation des objectifs, le deuxime axe dfinit les
risques, contrles et les actions et le troisime axe organise le travail dans un systme
processus bien structur. COSO a volu depuis 2002 vers une deuxime
version COSO2 sous forme dune mthodologie axe sur la gestion des risques appele
ERM ( Entrprise Risk Management ).
Cobit a t publi en 1996 par lISACA ( Information Systems Audit and Control
Association ). CobiT est organis selon une approche oriente processus, qui regroupe
en 4 domaines (structurs par analogie avec la Roue de Deming), 34 processus
distincts qui comprennent en tout 215 activits et un nombre plus important de
pratiques de contrle. CobiT fournit aux gestionnaires, auditeurs et utilisateurs de SI,
des indicateurs, des processus et des bonnes pratiques pour les aider maximiser les
avantages issus du recours des techniques informatiques et l'laboration de la
gouvernance et du contrle d'une entreprise. Dans sa version 4.1 Cobit intgre
proprement dit les deux volets audit et management des SI, ainsi quun grand nombre
de dmarches et bonnes pratiques issues dautres rfrentiels et normes internationales.
28
Val IT (Governance of IT
investments)
Risk IT (Governance of
IT risks)
La norme ISO/CEI
20000
29
IFAC ( International Federation of Accountants ), cest la fdration globale de la profession comptable fond en
1977. Elle a pour vocation de publier des standards internationaux sur l'thique, audit et assurance, l'ducation, et la
comptabilit du secteur public. Elle publie aussi des conseils pour encourager la qualit dans les services des
professionnels comptables.
30
En 2000 une troisime version a apparu suite aux nombreux travaux de lITIG(14) . Cette
version a introduit pour la premire fois la notion de management, proposant ainsi deux
guides : un guide daudit qui offre une approche processus guide par des objectifs de contrle
et un guide de management pour ces processus sous forme dun ensemble de lignes directrices.
La version quatre de ce rfrentiel a fait son apparaissance en 2005 et a volu vers la version
4.1 en 2007. Ces deux versions regroupent deux visions : le contrle et le management des SI
(notion dveloppe depuis la version 3 et approfondie dans la version 4.1 au niveau dun guide
complet de management). Ces deux versions ont t fortement influences par la loi SOX et
son homologue la LSF, en renforant les contrles des SI associes aux processus financiers et
la gouvernance des SI .Ces deux version intgrent aussi dans leurs processus les bonnes
pratiques issues dun nombre autres rfrentiels, lois et normes tel que : ITILV3, ISO 27002,
ISO 9000, ISO 38500, CMMi, COSO, loi SOX, PMBOK, TOGAF . Ds lors la version 4.1
de Cobit a t considre comme un cadre fdrateur daudit et de gouvernance des SI.
La cinquime variante de Cobit a t dvoile en 2012 et a pris une nouvelle tendue en se
focalisant sur la dimension gouvernance qui est devenue la ligne directrice de la nouvelle
approche Cobit. Cette version a intgr en plus des bonnes pratiques issues de nombreux
cadres daudit et de gouvernance dans la version prcdente, les bonnes pratiques des
rfrentiels Val IT et Risk IT dvelopps par lISACA, fin de prsenter une dmarche
cohrente et globale en matire daudit, management et gouvernance des SI.
(14)
ITGI ( IT Governance Institute ) est un institut fond par lISACA en 1998 afin de contribuer par des tudes et des
recherches en gouvernance des SI apporter des amliorations aux approches et mthodologies des produits de cette
dernire.
31
Le cadre de rfrence Cobit4.1 fonde son approche tout autour de linformation, qui se prsente
comme garant du bon fonctionnement des activits de lentreprise et qui contribue la ralisation de
lobjectif ultime de lentreprise : la cration de la valeur . Pour cette raison que linformation ainsi
que les processus lui sont associs et les diffrentes ressources dployes doivent avoir un niveau de
performance, de qualit et de scurit lev afin daboutir latteinte de cet enjeu.
32
Dans cette perspective Cobit dfinit sept critres (exigences) dinformation, qui doivent tre vrifis :
Lefficacit : cest la mesure par laquelle linformation contribue aux rsultats des processus
mtier par rapport aux objectifs fixs.
Lefficience : cest la mesure par laquelle linformation contribue aux rsultats des processus
mtier au meilleur cot.
La confidentialit : cest la mesure par laquelle elle est protge des accs non autoriss.
Lintgrit : cest la mesure par laquelle linformation correspond la ralit de la situation.
La disponibilit : cest la mesure par laquelle linformation est disponible en temps voulu.
La conformit : cest la mesure par laquelle les processus sont en conformit avec les lois, les
rglements et les contrats.
La fiabilit : la mesure par laquelle linformation de pilotage est pertinente.
Afin de garantir ces exigences dinformation, contrler les SI et contribuer lamlioration de leurs
fonctionnements, Cobit 4.1 dploie trente-quatre processus informatiques interconnects (dclins en
plus de deux-cent activits) afin de grer et optimiser les diffrentes ressources des SI : personnes,
informations, applications et infrastructure. Ces processus sont groups en quatre domaines :
Planifier et Organiser (PO) : ce domaine traite les problmes du
management global
34
35
Les mtriques : pour chaque objectif informatique, processus ou activit, Cobit4.1 offre un
ensemble de mesures afin dvaluer le degr datteinte de ceux ci (KGI(15)) et dautres mesures
pour valuer leurs performances (KPI(16)).
Les tableaux RACI
(17)
processus le groupe dintervenants en dterminant ceux qui sont responsables, ceux qui
approuvent et ceux qui seront consults et/ou informs. Cobit4.1 identifie au moyen de ces
tableaux, dix-neuf rles et responsabilits gnriques pouvant se dcliner en postes et emplois
plus structurs. Cest un lment de management permettant de clarifier les responsabilits et
les tches, il est dordre indicatif et peut faire rfrence des instances comme : comit
stratgique informatique, comit de pilotage informatique .
Les entres et sorties des processus (Input /Output) : la dmarche Cobit4.1 est base sur un
ensemble de processus informatiques interconnects, pour chacun de ces processus un
ensemble de flux dentre et de sortie sont associs et dfinis. Ces lments permettent
dtablir les liens entre lensemble de ces processus dans le cadre dune approche systme.
(15)
KGI ( key Goal Indicator ) ce sont des mesures de rsultat des processus qui informent le management a posteriori
si un processus informatique a rpondu aux exigences mtier.
(16)
KPI ( Key Performance Indicator ) ce sont des mesures qui dterminent quel point la performance dun processus
informatique lui donne la chance datteindre ses objectifs.
(17)
RACI : un tableau des rles et responsabilits qui prcise pour chaque activit dun des processus Cobit le
Responsable, celui qui Approuve, le Consult et/ou lInform.
36
Les modles de maturit : dans une logique damlioration continue des processus
informatiques, Cobit4.1 prsente une chelle de maturit gradue en six degrs, pour suivre
leurs volutions. Chaque processus informatique mis en place peut passer par plusieurs stades
de maturit jusqu atteindre ltat optimal. Dans ce cycle, des valuations de maturit
priodiques (annuelles) permettent de localiser le niveau atteint dun processus (par exemple le
niveau trois Processus dfini ), et afin de le faire voluer vers le niveau de maturit suivant
(le niveau quatre Gr et mesurables )
Les pratiques de contrle ( Cobit Control practices : 2nd Edition ) : cest un ensemble des
pratiques de contrles tablies par des experts en rponses aux diffrents objectifs de contrle
Cobit. Ces pratiques sont la destination des managers fin de les aider implmenter des
objectifs de contrle et forment des lments sur lesquels les auditeurs informatiques peuvent
se baser pour valuer les objectifs de contrle implments.
Les bases de scurit de linformation ( Cobit Security Baseline : 2nd Edition ) : cest un
ensemble de conseils de management destins au conseil dadministration et la direction
gnrale pour les guider en matire de scurit de linformation. Ces conseils sont bass sur les
objectifs de contrle Cobit.
Le guide daudit ( IT Assurance Guide: Using Cobit ) : ce guide offre aux auditeurs une
dmarche, des mthodes et des outils pour les aider dans la planification, la ralisation et la
conclusion de leurs diffrentes missions daudit tout en exploitant les lments de Cobit.
Ce schma prsente les produits gnralement applicables et leur public principal. Il existe galement des produits
drivs pour des fonctions particulires, tels que : Objectifs de contrle des SI pour Sarbanes-Oxley, 2me dition ,
Gouvernance de la scurit de linformation : Recommandations destines aux conseils dadministration et aux
directions gnrales (dans des domaines scurit) et Cobit Quickstart pour les petites et moyennes entreprises ).
(pour des entreprises spcifiques).
38
III.
Ds son apparition le cadre de rfrence Cobit tait conu pour aider les auditeurs informatique
planifier et excuter des missions daudit, et mme en voluant vers dautres perspectives
managriale et stratgique (tel que la gouvernance) il a gard son volet audit proprement dit au
moyen dun lment axial : les objectifs de contrle .
Les objectifs de contrle permettent de dfinir les exigences minimales pour garantir un contrle
efficace de chaque processus informatique , ils stalent en un grand nombre de pratiques de
contrle dtaills et plus spcifiques. Ces objectifs dordre oprationnel et les pratiques qui en
dcoulent sont la base des valuations excuter par les auditeurs au niveau des missions daudit
afin de dtecter les faiblesses de diffrents dispositifs de contrle mis en place. En pratique les
auditeurs peuvent se rfrer ces objectifs et les pratiques associes afin de mettre au point des
procdures daudit dtailles sous forme de questionnaires ou des grilles dvaluation.
Dans sa version 4.1 Cobit dploie ces objectifs de contrle sur lensemble des activits des SI dans
un modle processus comportant trente-quatre processus couvrant lintgralit de la fonction SI.
Cette caractristique permet aux auditeurs de mener des missions daudit transversales, telle que
laudit de la scurit globale des SI et cela en valuant tous les objectifs de contrle en relation avec
le thme de cette mission. Cobit4.1 permet aussi de dlimiter le primtre des missions daudit et de
restreindre le champ dintervention des auditeurs des fins plus spcifiques, et cela via un processus
du cadrage de ces objectifs de contrle quon va voir par la suite.
Ces mmes objectifs de contrle permettent aux auditeurs daffiner leurs investigations en leurs
dirigeant via des tables de mappage vers les bonnes pratiques dautres standards plus dtailles tel
que : ITIL, CMMi, COSO, PMBOK, PRINCE2, TOGAF, Loi SOX, Act Ble II, ISO 9001, ISO
17799, ISO 27002, ISO38500 offrant ainsi aux auditeurs des normes possibilits dapprofondir
leurs missions daudits et de les enrichir par des valuations plus rigoureuses.
Parmi les nombreuses publications de lISACA, le guide daudit Cobit4.1 se prsente comme
indispensable aux auditeurs des SI, en leur proposant un ensemble de conseils daudit sous forme de
procdures dvaluation dtaills. Ces conseils portent sur lensemble des processus Cobit4.1 et les
objectifs de contrle associs, et ils sont la destination des auditeurs aussi bien quaux managers.
39
Ces procdures forment une base sur la quelle lauditeur peut sappuyer afin de prparer les
questionnaires daudits qui vont le guider dans son travail, elles se divisent en :
Enoncs des valeurs : ce sont des indicateurs dordre managrial permettant aux professionnels
de justifier au prs des leurs suprieurs le choix dun tel objectif de contrle ou autre, dans le
cadre dune implmentation des dispositifs de contrle pour les SI. Ils indiquent les apports en
valeur quun objectif de contrle peut garantir lentreprise.
Enoncs des risques : ces lments mettent laccent sur les principaux risques pouvant survenir
en cas dabsence dun tel objectif de contrle ou autre. Une valuation des diffrents risques de
non mise en place de certains objectifs de contrle Cobit, permet aux managers de classifier
par ordre dimportance ces objectifs de contrle afin de choisir ceux qui seront recommands
pour assurer le bon fonctionnement des SI.
Procdures dvaluation des objectifs de contrle : ce sont des conseils permettant aux
auditeurs de formuler des questionnaires pour valuer le niveau de respect du lobjectif de
contrle en question. Ils leurs proposent aussi titre indicatif quelques directives et mthodes
afin de mieux excuter leurs missions et enqutes.
Procdures dvaluation du rsultat des objectifs de contrle : ces procdures permettent de
vrifier lensemble dobjectifs de contrle dun processus bien dtermin afin dvaluer le
niveau de contribution de celui-ci dans la cration de valeur. Cest de linstar des auditeurs de
faire ces valuations et de prsenter leurs conclusions aux dirigeants.
Procdures dvaluation de limpact des faiblesses de contrle : ces procdures permettent aux
auditeurs de fournir aux dirigeants leurs opinions concernant les rpercutions des faiblesses
dtectes de lensemble des objectifs de contrle propres un processus Cobit bien dtermin.
Sur la lumire de ces remarques et opinions les responsables vont prendre les mesures
convenables afin damliorer les contrles mis en place.
Figure 16 : Les diffrents types de procdures dvaluation selon le guide daudit Cobit4.1
40
Des relations bien dtermines rgnent entre les lments de Cobit4.1 (les processus, les objectifs de
contrle et les pratiques de contrle) et les procdures dvaluation dictes dans le guide daudit. Le
schma suivant dcrit ces liens tout en mettant le point sur la hirarchie rglant ces relations.
Figure 17 : Les diffrentes relations entre les procdures dvaluation et les composants de Cobit4.1
Dautres contrles font aussi objet des valuations spcifiques, se sont les contrles gnriques ou
contrles des processus (CP). Ces contrles sont dune nature managriale, permettant de sassurer
de la bonne implmentation et de la meilleure gestion des processus, ils sappliquent tous les
processus Cobit et sont au nombre de six :
PC1 : Buts et objectifs de processus.
PC2 : Proprit de processus.
PC3 : Reproductibilit de processus.
PC4 : Rles et responsabilits.
PC5 : Politiques, plans et procdures.
PC6 : Amlioration des performances de processus.
remarquer que l'ensemble compos des pratiques de contrle gnriques (associes aux processus)
et les diffrentes pratiques de contrle spcifiques (associes aux objectifs de contrle) constitue une
mthode cohrente, ncessaire et suffisante pour atteindre les objectifs de contrle implments.
2) La conduite dune mission daudit selon lapproche Cobit 4.1
LIAASB Assurance Framework (19) identifie cinq lments composant une mission daudit :
La relation tripartie : qui dfinie les liens entre les
auditeurs et les destinataires de rapport daudit. Cette relation est matrialise en une charte
daudit ou lettre de mission.
Le domaine daudit ou le primtre dune mission daudit.
Les critres pertinents dvaluation : normes, cadres de rfrence et/ou rglementations.
Le processus daudit tabli par les auditeurs, on parle du programme daudit ou plan daction.
La conclusion de la mission daudit : qui prendra forme en un rapport daudit comportant
lopinion des auditeurs et leurs recommandations concernant llment audit.
Cobit4.1 lui dfinit sa propre dmarche daudit (qui saligne avec celle de lIAASB voir Annexe1)
tout en offrant aux auditeurs des SI au moyen de son guide daudit un grand nombre de mthodes,
doutils et de conseils afin de les aider tablir un programme daudit et bien excuter leurs
missions. Ce programme daudit ou plan daction se divise en trois phases : planification, cadrage et
excution.
(19)
Ce cadre tabli par lIAASB dcrit les objectifs d'une mission daudit, et identifie les engagements par rapport aux
normes internationales d'audit (ISA : International Standard on Auditing ).Parmi lensemble des normes ISA, la
norme ISA 3000 tablit les principes de base et les procdures essentielles pour mener bien une mission daudit ou un
examen d'informations financires.
42
a) La phase de planification
Cette phase dbouche sur ltablissement dun plan daudit annuel, en cas daudit interne, permettant
dencadrer les diffrentes activits daudit sur une priode bien dtermine et dlimiter les rles,
responsabilits et primtres. En cas daudit externe, des plans daudit seront tablis pour chaque
mission. Selon lapproche de cadre de rfrence Cobit4.1, la planification dune mission daudit
consiste :
1. Dfinir le primtre dune mission daudit. La mthode dvaluation des risques se prsente
dans cette tape comme une mthode pertinente pour dlimiter le primtre dune mission.
2. Slectionner un cadre de rfrence de contrle.
3. Procder la planification des missions daudit.
4. Procder des valuations de haut niveau, des telles valuations favorisent des missions
daudit bases sur les risques. Plusieurs lments de Cobit peuvent tre utiliss lors de ces
valuations afin didentifier les processus auditer, par exemple : les noncs de valeur et des
risques, les attributs de maturit des processus, les objectifs de contrle
5. Dfinir le cadre et les objectifs gnraux de laudit.
La mthode dvaluation des risques :
Cette mthode est axe sur les risques (voir Figure 18), on distingue trois types de risque : les risques
inhrents (risques propres llment auditer), les risques lis au contrle (faiblesses de contrle)
et les risques de non dtection, ces derniers doivent tre valus lors de cette phase de planification
afin dlaborer des mthodes assurant latteinte des objectifs de la mission daudit.
Lauditeur est amen alors examiner les risques de llment auditer ainsi que la qualit de
processus de gestion des risques. Il aura raliser les tches suivantes :
Identification du risque : cest la recherche des risques et lidentification de leurs causes et
consquences afin de valider ou construire un portefeuille de risques.
valuation du risque : consiste estimer la criticit (20) du risque, son importance en termes
de probabilit dapparition et dimpact (financiers, dlais, qualit, ). Lauditeur doit
calculer la criticit relative ou absolue de chaque risque.
Recherche des moyens de rduction : qui consiste rechercher des solutions de prvention,
de contournements, de transfert et de surveillance. Et la fin de cette tche lauditeur
examinera ou mettra ses recommandations.
(20)
La criticit dun risque (C) est dtermine par deux facteurs : la gravit qui correspond limpact du risque(G) et la
probabilit doccurrence dun risque(P). Cest le croisement de ces deux estimations : C = G*P.
43
b) La phase de cadrage
Cette phase consiste identifier les principaux objectifs de contrle auditer via un processus de
cadrage permettant de dlimiter le primtre dune mission daudit, le rsultat sera un champ
daction bien dtermin et des objectifs plus dtaills.
La cascade des objectifs de Cobit4.1 (Figure 12) et qui permet le passage dun niveau dobjectif un
autre au moyen des tables de mappage (voir Annexe1) jusqu lidentification des processus
informatiques, peut former un premier niveau de cadrage ou un cadrage de haut niveau (tapes 1,2,3
et 4 de processus de cadrage selon la Figure 20). Aussi dautres lments de Cobit4.1 tels que : les
critres dinformation, les nonces des risques et des valeurs des objectifs, les attributs des modles
de maturit peuvent constituer des inducteurs pour ce niveau de cadrage.
44
Sur la base de ce cadrage de haut niveau un autre cadrage plus dtaill permettra de dlimiter le
champ daction des auditeurs en fixant les principaux objectifs de contrle et les ressources de
lentreprise concernes par la mission (tapes 5 et 7 de la Figure 20).
Ce dernier cadrage peut tre aussi affin en slectionnant parmi les lments fixs (ressources et
objectifs de contrle) un sous ensemble plus personnalis (tapes 6 et 8 de la Figure 20). Cet
affinement peut se baser sur la mthode dvaluation des risques afin de restreindre la liste des
objectifs de contrle et sur la mthode danalyse des causes effets en ce qui concerne les ressources
pour ne garder que les ressources qui auront un effet significatif en cas de risque de non atteint des
objectifs de contrle critiques.
Figure 20 : Les 8 tapes de cadrage d'une mission d'audit selon lapproche Cobit4.1
45
46
remarquer quun cadrage trop troit de la mission peut conduire ce que des facteurs significatifs
ne soient pas pris en compte. Nanmoins un cadrage trop large peut entraner des inefficacits et des
conclusions incorrectes en raison de limitation des ressources ou d'un manque de temps. Pour cette
raison lauditeur doit bien cadrer son champ daction afin de favoriser lefficacit et lefficience de
sa mission daudit.
c) La phase dexcution
Cette phase comporte selon lapproche daudit de cadre de rfrence Cobit4.1 six tapes dont les
deux premires ont pour objectif daffiner le travail fait lors des deux phases prcdentes (phases de
planification et du cadrage). Pour les tapes trois, quatre et cinq ils consistent collecter et valuer
les lments probants au moyen dun nombre doutils, mthodes et procdures dvaluation que les
experts en Cobit ont mis la disposition des auditeurs dans le guide daudit Cobit. Les rsultats de
ces investigations vont servir par la suite (au niveau de ltape six) la rdaction du rapport daudit
final qui va comporter les opinions des auditeurs concernant les lments audits et leurs
recommandations pour remdier aux dysfonctionnements et risques dtects.
3. Evaluation des contrles : le but de ces vrifications est dvaluer les contrles, leurs
applications et leurs efficacits oprationnelles. Diffrents types de vrification et de tests
peuvent tre appliqus durant cette tape. Le guide daudit Cobit4.1 dfinit cinq mthodes
gnriques dvaluation comme dcrit dans le tableau suivant :
Tableau 10 : Les diffrentes mthodes d'valuation des contrles adoptes par Cobit4.1 et SAS70(21)
Mthode dvaluation
Sinformer et
confirmer
Inspecter
Observer
R excuter et /ou
recalculer
Contrler la collecte
automatise des
lments probants
Exemples dvaluations
Rechercher les exceptions/carts et les examiner.
Analyser les transactions/vnements inhabituels ou exceptionnels.
Vrifier/dterminer si une action s'est (ou ne s'est pas) produite.
Corroborer les rapports de gestion partir de sources indpendantes.
Interroger les employs et valuer leurs connaissances et leur sensibilisation.
Rapprocher les transactions.
Interroger le management et obtenir des rponses pour confirmer des
constatations.
Examiner les plans, les politiques et les procdures.
Rechercher les pistes d'audit, les journaux d'incidents ...
Retrouver l'origine des transactions dans le processus/systme.
Vrifier physiquement l'existence de documents, actifs
Effectuer la visite sur site des installations, des plans
Effectuer une tude de la conception ou une inspection des codes.
Comparer la ralit et les constatations attendues.
Observer et dcrire les processus.
Observer et dcrire les procdures.
Comparer la ralit et le comportement attendu.
Exposer et estimer sparment le rsultat attendu.
Tenter ce qui est empch.
R-excuter ce qui est dtect par les contrles de dtection.
R-excuter les transactions, les procdures de contrle
Recalculer sparment.
Comparer la valeur escompte et la valeur relle.
Comparer la ralit et le comportement attendu.
Retrouver l'origine des transactions dans le processus/systme.
Collecter des chantillons de donnes.
Utiliser des modules d'audit intgrs.
Analyser les donnes l'aide de techniques d'audit assistes par ordinateur
(TAAO).
Extraire des exceptions ou des transactions cls.
Source : Guide daudit des systmes dinformation, Utilisation de Cobit4.1 . AFAI (2008).
En gnral l'auditeur dans cette tape qui traite les contrles critiques cherche dterminer si :
Des processus de contrle documents existent.
Des traces appropries des processus de contrle existent.
Les responsabilits finales et oprationnelles sont claires et effectives.
Des contrles compensatoires existent, si ncessaire.
(21)
SAS70 ( Statement on Auditing Standards n70 ) cest une norme d'audit reconnue l'international, dicte par
l'AICPA ( American Institute of Certified Public Accountants ).
48
4. Evaluation du rsultat des objectifs de contrle : cette tape permet de garantir que les
contrles des processus fonctionnent comme prvus de faon homogne et continue et quils
contribuent la performance des processus informatiques. Pour tester le rsultat ou l'efficacit
dun contrle, l'auditeur doit rechercher les lments probants directs et indirects et l'impact du
contrle sur la qualit des sorties du processus tout en utilisant des mthodes de test et
dvaluation appropris.
5. Evaluation de limpact des faiblesses de contrle : cette tape permet de mesurer et de justifier
le risque que les objectifs de contrle ne soient pas atteints laide de techniques danalyse et
de test permettant de dtecter les faiblesses, les menaces et les vulnrabilits et de dterminer
leurs impacts. L'objectif de cette tape est d'effectuer les tests ncessaires pour apporter au
management la garantie ou l'absence de garantie relative la ralisation d'un processus
informatique donn et de lefficacit des contrles lui sont associs. Les lments de Cobit aux
quels un auditeur peut se rfrer pour effectuer ces valuations sont : les descriptions des
processus, les noncs d'inducteurs de risque, les tableaux RACI et les modles de maturit.
6. Rdaction et notification des conclusions et recommandations : cette tape consiste
communiquer les risques inhrents aux faiblesses de contrle aux diffrents partenaires de la
mission daudit, sous forme de conclusions et recommandations dans un rapport daudit qui
doit clarifier les lments suivants :
Les actions recommandes pour attnuer l'impact des faiblesses de contrle.
Le comparatif de performance par rapport aux normes et aux meilleures pratiques afin
dapprcier les rsultats des valuations.
(22)
Tableau 11).
(22) Cette norme fait partie dun ensemble de seize normes daudit des SI tablies par lISACA dont le but de rgler le
mtier dauditeurs informatique. Ces normes doivent imprativement respects par les auditeurs certifis CISA, et aussi
peuvent sert de guide pour les entreprises et les auditeurs informatiques en gnrale.
49
2
3
4
5
Exigences
L'auditeur doit fournir un rapport, sous une forme approprie, la fin de la
vrification. Ce rapport doit identifier lorganisation, les destinataires et les restrictions
sur la circulation du document.
Le rapport d'audit doit indiquer la porte, les objectifs, la dure de la mission et sa
nature, le calendrier et l'tendue des travaux de vrification effectus.
Le rapport doit indiquer des constatations, conclusions et recommandations et toutes
rserves, qualifications ou limitations, que l'auditeur a eu dans sa mission lors de ses
travaux de vrification.
L'auditeur doit prsenter des lments probants suffisants et appropris pour appuyer
les rsultats rapports.
Le rapport de l'audit doit tre sign, dat et distribu selon les termes de la charte
d'audit ou lettre de mission, avant dtre mis aux destinataires appropris.
50
51
Prsentation de la STEG
1) Historique et volution
Jusqu' avant lanne 1959, l'industrie lectrique tunisienne tait rpartie entre sept socits
diffrentes, puis depuis, l'tat tunisien a dcid de prendre provisoirement en charge ces socits en
mettant en place, le 15 aot 1959, un comit de gestion la tte de l'une de ces socits connue sous
le nom de Compagnie Tunisienne d'Electricit et Transports (CTET). Par le dcret-loi n62-8 du 3
avril 1962, l'tat a mis fin cette situation en crant un monopole public baptis la Socit
Tunisienne de llectricit et de Gaz (STEG). Cinquante ans aprs sa cration, lactivit de la STEG,
a vu passer (23) :
le taux d'lectrification global de 21% 99,5%
le taux d'lectrification rural de 6% 99%
la puissance installe de 100 MW 4 016 MW
la production nationale de 288 GWh 16 833G GWh
le nombre de ses clients de 183 mille 3 383 mille pour le secteur de l'lectricit
le nombre de ses clients de 25 mille 644 mille pour le secteur de gaz
Cette volution de la production et de nombre des clients a plac la STEG en haut de lchelle des
performances des entreprises tunisiennes tout en occupant la deuxime place en termes de chiffre
d'affaires qui a atteint 2670 MDT en 2012.
Tableau 12 : Fiche technique de la STEG
Raison Sociale
Adresse
Tlphone
Fax
E-mail
Site Web
Statut juridique
Domaine
Activit
Description
Socit Tunisienne d'Electricit et de Gaz
38, Rue Mustapha Kamel Ataturk BP n 190 Tunis Cdex 1080 Tunis
71 341 311
71 349 981
dpsc@steg.com.tn
http://www.steg.com.tn
Entreprise publique
Energie
Production et distribution de l'lectricit et de gaz
(23)
52
53
Source : rapport dactivit de la STEG de lanne 2011 (remarque : les rapports de la STEG sont toujours publis avec
lcart dune anne dexercice).
54
3) Organigramme
55
Il est important de mentionner que la fonction daudit interne a fait des normes progrs depuis sa
mise en place en 1972. Le premier objectif de cette fonction a consist faire un Audit de
Rgularit / de Conformit par rapport aux rgles internes la STEG et aux dispositions lgales et
rglementaires locales et internationales rgissant son secteur dactivit. Depuis ses premires
variantes et jusqu aujourdhui, la direction daudit interne de la STEG na cess et ne cesse de
chercher faire voluer ses approches daudit. Ainsi dans sa qute defficacit, elle a enrichi
lapproche existante par lintgration progressive du volet Audit dEfficacit qui se proccupe
dmettre une opinion non seulement sur la bonne application des rgles et procdures mais aussi sur
leur qualit. Puis elle a instaur peu peu l Audit de Performance qui englobe la fois la notion
defficacit et defficience. Toutes ces volutions empruntaient les lignes directrices de principales
normes et rfrentiels daudit sur le march.
2) Activits de la direction daudit interne
Pour donner une assurance raisonnable quant lefficacit et lefficience, la conformit, la qualit
ainsi que la scurit des activits principales de la STEG (la production, la distribution et le transport
de llectricit et du gaz) et ses autres activits annexes (administrative, commerciale, informatique,
comptable, financire ) la direction daudit interne planifie et excute annuellement plusieurs
missions au niveau de ses quatre dpartements daudit.
Ces missions stalent sur plusieurs domaines et traitent plusieurs lments comme prsents dans ce
tableau.
Tableau 14 : Domaines d'intervention de la direction d'audit interne de la STEG
Domaine
Financier
Administratif
Juridique
Moyens gnraux
Production, Transport
et Distribution
Projets dquipement
Informatique
Comptabilit Gnrale
Filiales
Missions
Audits de la trsorerie, des emprunts, de rglement des fournisseurs, des budgets
Audits de la gestion du personnel, de la paie, de la formation du personnel
Audit de la conformit aux lois et rglementations locales et internationales.
Audits de lentretien des btiments/mobilier, de la gestion du parc vhicules
Audits de de la production, du transport et de la distribution du llectricit et du gaz.
Audits des nouvelles acquisitions et des projets damnagement
Audit de la scurit des quipements, des applications informatiques et/ou des rseaux
Audit de la qualit des services informatiques
Audit de la conformit aux rglementations
Audit de la gestion des projets informatiques
Audits des rubriques les plus significatives des tats financiers (immobilisations, stocks,
crances, dettes long, moyen et court terme)
Lexamen des tats financiers
Diagnostic de gestion
Projections commerciales et financires
57
En tudiant les rapports annuels de la STEG sur la priode de lanne 2007 lanne 2011 on a
recens un grand nombre de missions daudit, de suivi et de mise en uvre, ainsi que des enqutes
et des expertises qui ont t planifies et excutes par la direction daudit interne. Le tableau suivant
prsente la rpartition des ces missions par dpartement daudit :
Tableau 15 : Rpartition des missions d'audit par dpartement daudit
Missions
Missions daudit technique lectricit
Missions daudit technique gaz
Missions daudit informatique
Missions daudit de gestion
Nombre total de missions
2007
12
22
12
73
119
2008
35
18
15
73
141
2009
39
21
22
67
149
2010
33
23
32(1)
65
153
2011
35
23
22
58
138 (2)
58
Parmi les nombreuses divisions de la STEG, la DSI est considre comme la dynamo de son
organisation structurelle, elle a pour rle de dvelopper, grer et maintenir les ressources des SI et
aussi dapporter des rponses et solutions aux diffrents besoins des mtiers afin quils puissent
contribuent efficacement la ralisation des objectifs stratgiques de lentreprise.
Durant la priode allant de lanne 2007 jusqu lanne 2011, la DSI de la STEG a excute plusieurs
activits et tches, dont on a recens les suivantes (24) :
Lalignement des projets informatiques sur les objectifs stratgiques de la STEG, dans une
approche globale de rduction des cots et de cration de la valeur.
Ltablissement du schma directeur des SI bas sur une dmarche durbanisation du SI
clientle.
Lactualisation des structures telles que :
MPDS : Management des Projets et Dveloppement Personnel.
CSIC : Comit SI et de Communication.
La restructuration de COPIL : comit de pilotage.
La mise en place dun PMO (Project Management Office) : bureau de gestion des projets SI.
Cest un support stratgique la DG et mthodologique aux chefs de projets SI.
Le dveloppement des projets informatiques :
EAI : Entreprise Application Integration.
SIPAD : Systme dInformation dAide la Dcision.
GMAO : progiciel de Gestion de Maintenance Assiste par Ordinateur.
SIG : Systme dInformation Gographique.
SIRH : Systme dInformation des RH.
E-Com : communication lectronique.
La documentation des projets SI (pour la gestion des activits informatiques et pour assurer la
prennisation du SI gnrale).
(24)
Etude faite partie des rapports annuels de la STEG pour la priode de lanne 2007 lanne 2011.
59
(25)
Boucle damlioration continue ou la roue de Deming cest une illustration de la mthode de gestion de la qualit dite
PDCA (Plan-Do-Check-Act). Son nom vient du statisticien William Edwards Deming . Ce dernier n'a pas invent le
principe du PDCA (la paternit en revient Walter A. Shewhart ), mais il l'a popularis dans les annes 1950 en
prsentant cet outil (sous le nom de cycle de Shewhart, the Shewhart cycle ) au Nippon Keidanren , l'organisation
patronale japonaise.
60
Ce SMQ sintgre dans une stratgie globale damlioration continue des activits, des services, des
produits et des structures de la STEG et qui a t adopt par la direction gnrale. Cette stratgie est
opre aussi au moyen dautres systmes de management et des organes de contrle, savoir :
Un Systme de Management de lEnvironnement (SME) bas sur la norme ISO 14001.
Un Systme de Management de la Qualit des Laboratoires d'Etalonnages et d'Essais
(SMQLEE) bas sur la norme ISO/CEI 17025 (et qui est fond sur la norme ISO 9001).
Un Systme de Management de la Sant et de la Scurit au Travail (SMSST) bas sur la
norme OHSAS 18001.
Un projet RSO : projet de Responsabilisation Socitale des Organisations bas sur la norme
ISO 26000.
Une cellule qualit pour la mise en place du SMQ, lassistance et la certification des units.
Une cellule Risk Management pour la gestion et la matrise des risques, y compris les
risques informatiques.
Une direction daudit : charge de la garantie et de lamlioration des dispositifs de contrle
interne au moyen de missions daudit, de suivi et de mise en uvre tout en collaborant avec les
autres structures de la STEG et/ou en faisant recours des experts externes.
2) Lapproche de la direction daudit interne de la STEG en matire daudit des systmes
dinformation
La direction daudit interne sintgre aussi bien dans la stratgie globale damlioration continue
adopte par la STEG. Sa tche consiste apporter une assurance raisonnable aux dirigeants quant
la bonne mise en place des dispositifs de contrle interne en menant des missions daudit tout en se
rfrant des cadres de rfrence et des normes internationales.
Etant donn la position centrale quoccupent les SI dans lorganisation de lentreprise et vu le
volume et la diversit des activits de la DSI de la STEG, des audits portant sur ces SI seront dune
importance vitale pour assurer la performance de lentreprise et sa prennit. La STEG a t parmi
les premires entreprises tunisiennes dployer des moyens et des structures (dpartement dAudit
Informatique, une cellule Risk Management ) pour mener des missions daudits spcifiques ses
SI chaque anne afin de vrifier, valider et amliorer les dispositifs de contrle interne leurs sont
associs (voir Tableau 15).
Lors de leurs missions, les auditeurs informatiques de la STEG se rfrent plusieurs
rglementations et lois en vigueur ainsi que de rfrentiels et normes internationales, tels que :
61
ISO 9001, ISO 14001, ISO 26000, OHSAS 18001 et qui forment des cadres globaux
dassurance pour les diffrentes activits et ressources de lentreprise (y compris celles des SI)
selon diffrentes perspectives.
ISO 13335, ISO 17799, la famille ISO 2700X, ITIL V3, PRINCE2 qui sont des normes et
des cadres de rfrences spcifiques aux SI.
Ces missions daudit menes par le dpartement daudit informatique soit quelles font partie des
missions globaux dassurance (tels que : laudit de performance, laudit de qualit, laudit de
conformit ), soit quelles sont des missions daudits spcifiques se focalisant sur laspect
oprationnel de la fonction informatique et cherchant dcerner les dfaillances techniques des TI
implmentes par la STEG et les risques informatiques potentiels.
Bien quelles apportent des rsultats remarquables et contribuent lamlioration des dispositifs de
contrle interne, reste que ces missions ne traitent pas les SI dune manire intgrale, ce qui peut ne
pas donner une vraie image sur ltat globale des SI. Par exemple en matire de la scurit des SI,
des missions daudit traitant juste la scurit des applications informatiques ou la scurit physique
des ressources matrielles, ne garantissent pas 100% la prennit des SI, qui peuvent tre contraris
par exemple par des risques dautres natures, tels que les risques humains (mauvaises utilisation,
fraude .) ou des risque stratgiques (telles que : la dfaillance de la stratgie numrique, la
dfaillance de la stratgie de scurit ou suite une dfaillance organisationnelle).
En fait le dpartement daudit informatique ne dispose pas dune dmarche daudit systmatique,
cohrente et transversale, couvrant lensemble des activits des SI. En ralit les auditeurs
informatiques de la STEG oprent dune manire artisanale suivant les besoins en audits explicits
par les responsables mtiers ou la direction gnrale, ou suite aux dfaillances dtectes. En plus les
auditeurs se rfrent une varit des normes et rfrentiels ce qui peut affecter la cohrence des
missions daudit ralises.
Ce prsent travail stablit dans le cadre de la recherche dune solution qui rpondra ces
manquements. La base de la solution sera fonder sur lapproche de cadre de rfrence Cobit 4.1 en
vertu de sa qualification en tant quun cadre fdrateur
(26)
transversale ainsi que ses nombreux avantages en matire daudit des SI, quon va essayer de les
matre en uvre au moyen dun gnrateur de guides daudit bas intgralement sur cette approche.
(26)
Cobit 4.1 est un cadre fdrateur de rfrence en matire des SI par excellence, il organise, unie et favorise la
convergence dun grand nombre de bonnes pratiques issues de plusieurs standards et normes internationales.
62
Un autre constat qui a favoris ce choix, cest quune telle solution sintgrera belle et bien dans la
stratgie globale de lamlioration continue adopte par la direction gnrale de la STEG. En fait
Cobit4.1, intgre le principe de la boucle damlioration continue PDCA et les bonnes pratiques de la
norme internationale de qualit ISO 9001 dans sa dmarche processus. Ce dernier constat va faciliter
lapprhension de lapproche Cobit4.1 par les auditeurs de la STEG et va leur permettre de
lincorporer aisment dans leurs missions et activits daudit au moyen des produits rsultant de ce
prsent travail.
II.
Cest dans le cadre de la contribution lamlioration des mthodes et outils utiliss par les auditeurs
informatique de la STEG et en rponse aux manquements dtects lors de ltude des tats des lieux
ralise tout en essayant dexploiter les avantages du cadre de rfrence Cobit4.1 en matire daudit
des SI, que se situe ce travail. La solution proposer sera matrialiser en un gnrateur de guides
daudit traduisant lapproche Cobit, permettant ainsi aux auditeurs de planifier, cadrer et excuter des
missions daudits cohrentes, complmentaires, oprantes dans une mme logique, couvrant
lintgralit des activits des SI, alignes sur les exigences mtiers au niveau le plus gnral et
ouvertes sur les bonnes pratiques dautres rfrentiels et normes plus spcifiques.
Llment central sur le quel se base lapproche Cobit4.1 en matire daudit des SI ce sont les
objectifs de contrle . Pour auditer un lment des SI il faut tout dabord selon cette lapproche
identifier les objectifs de contrle lui sont associs (il sagit du principe de cadrage selon la
terminologie Cobit) et par la suite les valuer afin de dtecter les points de faiblesses des contrles
mis en place, des ventuelles dysfonctionnements et/ou des risques potentiels. Une autre avantage de
ces objectifs de contrle ce quils font rfrence des bonnes pratiques dun nombre de cadres et
normes internationales ce qui va permettre aux auditeurs dapprofondir leurs missions et les enrichir
par des valuations et des investigations plus dtailles.
Plusieurs autres lments sintgrent dune manire ou dune autre dans le volet audit de cadre de
rfrence Cobit4.1 (voir Annexe 1), le produit raliser (le gnrateur de guides daudit) va se baser
principalement sur les lments suivants :
63
Une feuille Excel pour chaque domaine de processus Cobit4.1, cette feuille va comporter
toutes les valuations et questions portant sur lensemble des processus de ce domaine et les
objectifs de contrle leurs sont associs. Ainsi on aura quatre feuilles correspondant aux quatre
domaines suivants :
Planifier et Organiser (PO)
Acqurir et Implmenter (AI)
Dlivrer et Supporter (DS)
Evaluer et Surveiller (SE)
Pour chaque objectif de contrle de chaque processus un ensemble dvaluations sera prsent
afin de vrifier lefficacit des contrles internes implments par rapport aux bonnes pratiques
dicts par le cadre de rfrence Cobit4.1.
En plus de ces quatre domaines qui couvrent lensemble des activits des SI, une feuille Excel
sera ddie aux valuations concernant les contrles applicatifs (CA) qui sont la charge de la
DSI et qui concernent le reporting financier et la scurit des donnes et transactions
financires (ces contrles sont issus du cadre de rfrence de contrle interne COSO en
rponse aux exigences de la loi SOX et adopts par Cobit4.1).
remarquer que les diffrentes valuations que ce soit ceux portant sur les processus, les objectifs
de contrles associs ou les contrles applicatifs (CA) sont issus des conseils et des procdures
dvaluation labors par les experts dans le guide daudit Cobit4.1.
Description du guide gnrique et ses composants
Ce guide gnrique va mettre en uvre plusieurs lments de Cobit qui sintgrent dune manire et
dune autre au volet audit de cadre de rfrence Cobit4.1. Llment pivot autour du quel sorganise
lapproche audit de Cobit sont les Objectifs de contrle (llment 3 de la Figure 25), ces
objectifs dcrivent les exigences minimales pour garantir un contrle efficace de chaque processus
relatif aux SI . Au niveau de ce guide gnrique on va respecter le modle processus de Cobit4.1
qui est structur en Processus (llment 2 de la Figure 25) groups par Domaine (llment 1
de la Figure 25) afin de prsenter tous les objectifs de contrles. Pour chaque processus et pour
chaque objectif de contrle une description sera prsente permettant aux auditeurs de mieux
comprendre le champ dapplication et lutilit de chacun des ces lments.
65
En ralit, ce guide nest pas utiliser tel quil est, les cls dexploitation de ce guide seront dans la
carte de correspondance Missions - Objectifs de contrle qui va permettre de cadrer les missions
daudit et de gnrer des questionnaires spcifiques en fonction de type de mission dfini.
Et fin de guider les auditeurs informatiques dans leurs investigations lors de la phase dexcution,
des tests et des valuations seront prsents au moyen de ce guide gnrique sous forme de
Questions types (llment 4 de la Figure 25) et qui traduisent les conseils et les procdures
dvaluation proposs par des experts dans le guide daudit Cobit4.1. Ces questions ont pour but de
vrifier si les dispositifs de contrles implments et relatives un objectif de contrle bien
dtermin rpondent aux exigences du cadre de rfrence Cobit4.1 en ralisant une Evaluation
(llment 6 de la Figure 25) de ceux-ci par une rponse affirmative de type Oui/Non.
En assistance aux travaux dinvestigation des auditeurs un nombre des Mthodes et des conseils
(llment 5 de la Figure 25) seront mis leur disposition afin de les aider bien valuer les objectifs
de contrle en question. Ces conseils et mthodes sont mentionns titre indicatif, chaque auditeur
peut se confier dautres mthodes, ses propres outils et son exprience en la matire.
Les valuations et les tests effectues peuvent faire intervenir des audits qui sont gnralement les
responsables des processus concerns par la mission en question. Ainsi dans ce guide et en se basant
sur les tableaux RACI, une rubrique dnomme Responsables rattache la description de
chaque processus (faisant partie de llment 2 de la Figure 25) mentionnera les responsables cls
dun tel ou tel processus vers qui lauditeur peut sorienter pour demander des explications ou des
rponses ses interrogations.
Enfin une rubrique Observations et remarques (llment 7 de la Figure 25) sera consacre aux
auditeurs afin dinscrire leurs remarques et observations sur lensemble des valuations faites
chacun des objectifs de contrle. Ces remarques et observations en plus des rsultats des valuations
vont former la base des opinions et recommandations quils vont mentionner dans le rapport daudit
quils vont rdiger en fin de leurs missions.
remarque que dans ce guide gnrique les contrles applicatifs (CA) seront groups dans un
domaine titr Contrles Applicatifs qui sera implment en une feuille Excel part et qui peut
tre accde par la barre de navigation den bas (llment 8 de la Figure 25). Cette barre de
navigation permettra aussi de se dplacer entre les diffrents composants de ce gnrateur : la
plateforme des questionnaires, la carte cl et les tables de mappage (en forme dAnnexes).
66
67
Risques physiques
Risques logiques
Risques externes
(risques rseaux)
Risques lis aux
partenaires
Risques juridiques
Exemples
Dfaillance de la stratgie numrique et de scurit
Mauvaise organisation (failles organisationnelles)
Manque des comptences, dadhsion la politique de lentreprise
Mauvaise utilisation (erreurs dexcution)
Malveillance, ngligence
Divulgation des donnes critiques
Abus, usurpation des droits, fraude
Accs non autoriss
Indisponibilit ou dpart dun homme cl
Vols ou destruction du matriel informatique
Dommages matriels et logiciels (exemple : altration des BD)
Sinistres : incendies, inondations ..
Dni de service cause de saturation
Maintenance insuffisante
Dysfonctionnements des applications et systmes
Applications et systmes non conformes aux spcifications
Erreurs de conception, bogues logiciels
Pertes des donnes
Espionnage : analyse de trafic, intrusion
Virus, programmes malveillants
Vols et altration des donnes
Externalisation
Dfaillance dun fournisseur pou dun prestataire de service
Contrats avec les prestataires et les sous-traitants.
Nouvelles rglementations.
Evolution des structures juridiques.
68
Selon ce tableau les risques informatiques sont de plusieurs origines : stratgique, managriale,
oprationnel (utilisateurs des SI), comme ils infectent presque toutes les ressources des SI : les
informations, les applications, les quipements, les installations ainsi que les processus de
management. En raison de tous ces faits, la scurit des SI simpose comme un besoin vital pour les
entreprises afin de se protger contre cette varit des risques, dassurer la continuit de leurs
activits et de garantir leurs prennits.
Le cadre de rfrence Cobit 4.1 rpond parfaitement la mission Audit de la scurit globale des
SI par son modle processus qui couvre lensemble des activits et les diffrentes ressources des
SI, en plus de ses nombreux avantages, tels que : lalignement des ses bonnes pratiques sur les
besoins des mtiers et lintgration des plusieurs bonnes pratiques dautres rfrentiels daudit
(notamment la norme ISO 27002 en matire de scurit de linformation) offrant ainsi aux auditeurs
un cadre gnrale pour valuer la scurit des SI.
Selon lapproche Cobit 4.1 les exigences en matire de la scurit des SI doivent couvrir et satisfaire
trois critres parmi les sept critres dinformation quil dfinit, savoir : la confidentialit, lintgrit
et la disponibilit (voir Figure 26), et cela afin de sassurer dune manire gnrale que :
Les SI sont disponibles et utilisables en cas de besoin, et quils peuvent rsister aux attaques et
tre rcuprs suite des checs (disponibilit).
L'information est observ par ou divulgue uniquement ceux qui ont le droit daccs
(confidentialit).
L'information est protge contre toute modification non autorise ou d'une altration de sorte
que la prcision, l'exhaustivit et la validit seront maintenues (intgrit).
Figure 26 : Les exigences du cadre de rfrence Cobit4.1 en matire de la scurit des SI (critres dinformation)
69
71
Processus
PO1 : Dfinir un plan informatique stratgique
Acqurir
et
Implmenter
(AI)
Objectifs de contrle
PO1.2 : Alignement Mtiers-Informatique
PO1.4 : Plan informatique stratgique
PO1.6 : Gestion de portefeuille informatique
PO2.1 : Modle darchitecture de linformation de lentreprise
PO2.2 : Dictionnaire et rgles de syntaxe des donnes
PO2.3 : Systme de classification des donnes
PO2.4 : Gestion de lintgrit
PO3.3 : Surveillance de lvolution des tendances et de rglementation
PO3.4 : Standards informatiques
PO4.8 : Responsabilit des risques, de la scurit et de la conformit
PO4.9 : Proprit des donnes et du systme
PO4.10 : Supervision
PO4.11 : Sparation des tches
PO4.13 : Personnel informatique cl
PO4.15 : Relations
PO6.2 : Risque informatique pour lentreprise et cadre de contrle
PO6.3 : Gestion des politiques informatiques
PO6.4 : Dploiement des politiques, des standards et des procdures
PO6.5 : Communication des objectifs et des orientations informatiques
PO7.1 : Recrutement et maintien de personnel
PO7.2 : Comptences du personnel
PO7.3 : Affection des rles
PO7.4 : Formation
PO7.5 : Dpendance lgard dindividus
PO7.6 : Procdures de scurit concernant le personnel
PO7.7 : Evaluation des performances
PO7.8 : Changements de postes et dparts
PO8.3 : Standards de dveloppement et dacquisition
PO9.1 : Rfrentiel de gestion des risques informatiques
PO9.2 : Etablissement du contexte du risque
PO9.3 : Identification des vnements
PO9.4 : valuation du risque
PO9.5 : Rponse au risque
PO9.6 : Maintenance et surveillance du plan daction vis--vis risques
AI1.1 : Dfinition des exigences mtiers, techniques et fonctionnelles
AI1.2 : Rapport danalyse de risques
AI1.3 : Etude de faisabilit et formulation dalternatives
AI2.2 : Conception dtaille
AI2.3 : Contrles applicatifs et auditabilit
AI2.4 : Scurit et disponibilit des applications
AI2.5 : Configuration et implmentation des logiciels applicatifs acquis
AI2.6 : Mise jour majeurs des systmes existants
AI2.8 : Assurance qualit des logiciels
AI3.1 : Plan dacquisition dune infrastructure technique
AI3.2 : Protection et disponibilit des ressources de linfrastructure
AI3.3 : Maintenance de linfrastructure
AI3.4 : Environnement de test et faisabilit
AI4.1 : Planification pour rendre les solutions exploitables
AI4.2 : Transfer de connaissances aux mtiers
AI4.3 : Transfer de connaissances aux utilisateurs finaux
AI4.4 : Transfert de connaissance aux quipes dexploitation et support
AI5.2 : Gestion des contrats fournisseurs
AI5.3 : Choix des fournisseurs
AI5.4 : Acquisition des ressources informatiques
AI6.1 : Standards et procdures de changement
AI6.2 : valuation de limpact, choix des priorits, autorisation
AI6.3 : Modification durgence
AI6.4 : Suivi et compte-rendu des changements
AI6.5 : Clture et documentation des changements
AI7.1 : Formation
AI7.2 : Plan de test
AI7.3 : Plan dimplmentation
AI7.4 : Environnement de test
AI7.5 : Conservation de systme des donnes
AI7.6 : Tests des modifications
AI7.7 : Tests de recettes dfinitives
AI7.8 : Mise en production
AI7.9 : Revue post-implmentation
73
Dlivrer
et
Supporter
(DS)
Surveiller
et
Evaluer (SE)
Contrles
applicatifs
(CA)
Remarque :
Les processus en surbrillance sont les processus qualifis de prioritaires (P). Le degr de priorit de chaque processus est calcul selon le
nombre de fois quun processus est impliqu en matire de scurit des SI (voir Figure 27). Ce degr de priorit est mentionn par des
marques (xxx). Les contrles applicatifs (CA) font partie des contrles haut degr de priorit, pour cette mission Audit de la scurit
globale des SI .
74
protection des SI de tous risques. Ces conseils et directives sont labors sur la base des pratiques
de contrles associes aux diffrents objectifs de contrle Cobit.
75
76
(27)
Objectifs de contrle
PO1 : 1.2, 1.4, 1.6
PO2 : 2.2, 2.3
PO3 : 3.4
PO4 : 4.8, 4.9, 4.10, 4.11, 4.15
PO6 : 6.2, 6.3, 6.4, 6.5
PO7 : 7.3
AI5 : 5.2
DS1 : 1.3, 1.5, 1.6
DS2 : 2.4
DS5 : 5.1, 5.2
PO2 : 2.3
PO7 : 7.4
PO9 : 9.1, 9.2, 9.3, 9.4, 9.5, 9.6
AI1 : 1.1, 1.2
PO4 : 4.13
PO7 : 7.1, 7.2, 7.5, 7.6, 7.7
AI4 : 4.1, 4.2, 4.3, 4.4
AI7 : 7.1
PO8 : 8.3
AI1: 1.1, 1.2, 1.3
AI2 : 2.2, 2.3, 2.4, 2.5, 2.6, 2.8
AI3 : 3.1, 3.2, 3.3, 3.4
AI4 : 4.1, 4.4
AI5: 5.2, 5.3, 5.4
AI6 : 6.1
DS5 : 5.9
DS9 : 9.1, 9.3
PO8 : 8.3
AI2: 2.8
AI3: 3.4
AI6: 6.1, 6.2, 6.3, 6.4, 6.5
AI7: 7.2, 7.4, 7.6, 7.7, 7.8, 7.9
AI5 : 5.3
DS2 : 2.3, 2.4
SE2 : 2.6
PO2: 2.3
PO9: 9.3, 9.4
DS4: 4.1, 4.2, 4.3, 4.4, 4.5, 4.8, 4.9
DS5: 5.2, 5.3, 5.4, 5.5, 5.6, 5.7, 5.8, 5.9, 5.10, 5.11
DS10: 10.1, 10.2, 10.3
DS11 : 11.5, 11.6
DS12: 12.3, 12.5
DS13 : 13.4
AC6
DS4 : 4.9
DS5: 5.11
DS11: 11.2, 11.4, 11.6
AC1
AC2
AC3
AC4
AC5
AC6
DS12: 12.1, 12.2, 12.3, 12.4, 12.5
PO3 : 3.3
SE1: 1.2, 1.4, 1.5, 1.6
SE2: 2.1, 2.4, 2.5
SE3 : 3.1, 3.2, 3.3, 3.4
SE4 : 4.7
Voir Annexe2 pour une description plus dtaille de lobjectif et du primtre de chacune de ses sous-mission.
77
79
Figure 29 : La carte de correspondance Audit de la scurit globale des SI - Objectifs de contrle (Exemple1)
80
Figure 30 : La carte de correspondance Audit de la scurit des services internes - Objectifs de contrle
(Exemple2)
81
Figure 31: Les principaux standards et normes informatiques qui traitent la scurit des SI
82
Pour le cas de la mission type fixe pour ce travail, la mission d Audit de la scurit globale des
SI , le standards ou la norme la plus adapte au sujet trait est essentiellement la norme ISO/CEI
27002 : 2005 de la famille des normes ISO 2700X (voir Figure 32). Cette norme est en fait un code
de bonnes pratiques pour la gestion de la scurit de l'information qui prsente trente-neuf objectifs
de contrle qui se dclinent eux-mmes en cent-trente-trois mesures ou bonnes pratiques destines
tre implmentes par le management au moyen dun Systme de Management de la Scurit de
l'Information (SMSI).
83
Objectifs de contrle
Cobit 4.1
PO1 : 1.2, 1.4, 1.6
PO2 : 2.2, 2.3
PO3 : 3.4
PO4 : 4.8, 4.9, 4.10, 4.11, 4.15
PO6 : 6.2, 6.3, 6.4, 6.5
PO7 : 7.3
AI5: 5.2
DS1 : 1.3, 1.5, 1.6
DS2 : 2.4
DS5 : 5.1, 5.2
PO2 : 2.3
PO7 : 7.4
PO9 : 9.1, 9.2, 9.3, 9.4, 9.5, 9.6
AI1 : 1.1, 1.2
8.1, 8.2
10.1
PO4 : 4.13
PO7 : 7.1, 7.2, 7.5, 7.6, 7.7
AI4 : 4.1, 4.2, 4.3, 4.4
AI7 : 7.1
9.2
11.4, 11.5
12.1, 12.2, 12.4, 12.5,
12.6
PO8: 8.3
AI1: 1.1, 1.2, 1.3
AI2: 2.2, 2.3, 2.4, 2.5, 2.6, 2.8
AI3: 3.1, 3.2, 3.3, 3.4
AI4: 4.1, 4.4
AI5: 5.2, 5.3, 5.4
AI6: 6.1
DS5: 5.9
DS9: 9.1, 9, 9.3
10.1, 10.3
12.5
6.2
10.2
15.2
4.1, 4.2
6.2
7.2
9.2
10.1, 10.3, 10.4, 10.5,
10.8, 10.9, 10.10
11.1, 11.2, 11.4
12.3, 12.4
13.1, 13.2
14.1
7.2
9.2
10.7, 10.8
11.2, 11.6
15.2
9.1, 9.2
12.3, 12.5
4.1
10.10
15.1, 15.2, 15.3
PO8: 8.3
AI2: 2.8
AI3: 3.4
AI6: 6.1, 6.2, 6.3, 6.4, 6.5
AI7: 7.2, 7.4, 7.6, 7.7, 7.8, 7.9
AI5 : 5.3
DS2 : 2.3, 2.4
SE2 : 2.6
PO2: 2.3
PO9: 9.3, 9.4
DS4: 4.1, 4.2, 4.3, 4.4, 4.5, 4.8, 4.9
DS5: 5.2 ,5.3, 5.4, 5.5, 5.6, 5.7, 5.8,
5.9, 5.10, 5.11
DS10: 10.1, 10.2, 10.3
DS11: 11.5, 11.6
DS12: 12.3, 12.5
DS13: 13.4
AC6
DS4: 4.9
DS5: 5.11
DS11: 11.2, 11.4, 11.6
AC1
AC2
AC3
AC4
AC5
AC6
DS12: 12.1, 12.2, 12.3, 12.4, 12.5
PO3: 3.3
SE1: 1.2, 1.4, 1.5, 1.6
SE2: 2.1, 2.4, 2.5
SE3: 3.1, 3.2, 3.3, 3.4
SE4: 4.7
4.1, 4.2
5.1
6.1, 6.2
7.1
10.1, 10.2, 10.8
15.2
4.1, 4.2
6.1
8.2
84
Conclusion
La fonction daudit interne est dune importance cruciale, elle permet de garantir le bon
fonctionnement de lensemble des activits de lentreprise en vrifiant les diffrents dispositifs de
contrle interne mis en place par le management. Cette vrification a pour but de dcerner les
faiblesses de ces dispositifs et didentifier les risques potentiels qui peuvent mettre en pril la
prennit de lentreprise. Vu la position quoccupent les SI au centre de lorganisation de lentreprise
et leur rle mergeant en tant que un levier de croissance contributif la cration de la valeur et
afin de mieux les matriser, des audits portant sur ces SI sont de plus en plus exigs. Ainsi la
direction daudit interne doit perptuellement amliorer ses approches, mthodes et outils daudit
pour faire face un environnement trop changeant en matire des SI et les technologies associes.
Ce prsent travail stablait dans le cadre dun stage effectu au sein de la direction daudit interne
de la STEG pour lobtention du diplme de master en Audit Interne et Audit des Systmes
dInformation . Ma mission tait dlaborer un ensemble de guides daudit pour vrifier les
diffrentes activits des SI et daider lvolution des mthodes et outils du dpartement daudit
informatique. Ce stage tait une bonne occasion pour mettre en application les savoirs et les
connaissances thoriques que jai acquis lors de mes tudes et de dvelopper mes comptences
professionnelles et techniques via un cas pratique.
Pour rpondre la tche qui ma t confi jai trouv judicieux et mthodologique de faire une
tude de ltat des lieux de la STEG en matire de management et daudit des SI afin de choisir la
bonne solution mettre en place. Cette tude qui sest base sur lensemble des rapports annuels de
la STEG couvrant la priode entre lanne 2007 et lanne 2011, a montr que le volume des
activits de la DSI de lentreprise daccueil est trop important et sans cesse en volution et que ces
activits se dploient sur tout lensemble de lorganisation. Les responsables de la STEG pour
assister cette volution, nont cess de chercher continuellement amliorer les approches, mthodes
et les structures garantissant le bon fonctionnement de lentreprise, cest dans cette vision quun
systme de management de la qualit (SMQ) bas sur la norme internationale ISO 9001 a t mis en
place ainsi quune cellule Risk Management et aussi pour cette vocation qua t cre
la
Dans cette logique globale damlioration continue, que sinstalle la fonction audit interne et son
disciple laudit des SI. Les auditeurs informatiques de la direction daudit interne de la STEG se
rfrent dans leurs travaux un ventail de rfrentiels et standards pour mener des missions daudits
spcifiques traitant des lments particulires selon les besoins et en rponse aux demandes de la
direction gnrale et des mtiers. Nanmoins il manquait un cadre globale daudit des SI afin
dorganiser et de structurer les diffrentes missions dans une logique cohrente et complmentaire.
La solution tait dlaborer un gnrateur de guides daudit hirarchiss sur la base dun cadre de
rfrence qui pourra combler ce manquement. Ainsi le choix stait fix sur le cadre de rfrence
fdrateur Cobit4.1.
Le cadre de rfrence Cobit4.1 se distingue par un nombre davantages par rapport aux autres
standards, particulirement par son modle processus qui considre toutes les ressources des SI et
couvre les diffrentes activits de la DSI donnant ainsi une vision complte de la fonction
informatique.. Un autre avantage de Cobit4.1 cest quil intgre au moyen de ces objectifs de
contrle plusieurs dmarches et bonnes pratiques de plusieurs rfrentiels et normes internationales,
tels que : ITIL, CMMi, PMBOK, PRINCE2, TOGAF, COSO, ValIt, RiskIt, ISO 9001, ISO 20000,
la srie ISO 27000, ainsi Cobit4.1 est considr comme un cadre intgrateur et harmonisateur des
standards informatique. Pour le volet audit, lapproche Cobit4.1 tourne tout autour dun lment
axial : les objectifs de contrles qui dfinissent les exigences minimales pour garantir un contrle
efficace de chaque processus et qui sont la base de toute valuation lors des missions daudit
selon cette approche. Aussi Cobit4.1 offre au moyen dun guide daudit tabli par des experts dans le
domaine et ses diffrents lments une dmarche daudit bien labore permettant ainsi aux auditeurs
informatiques de mieux planifier et excuter leurs missions.
Le produit de ce prsent travail le Gnrateur de guides daudit imite intgralement lapproche
audit de cadre de rfrence Cobit4.1. Ce gnrateur se compose dun guide gnrique (en forme
dune plateforme de questionnaires daudit base sur les objectifs de contrle), une carte de
correspondance Missions-Objectifs de contrle (qui se prsente comme une cl permettant de et
de gnrer des questionnaires spcifiques correspondant des missions bien dtermines) et dun
ensemble de tables de mappage (faisant rfrence aux principaux normes et standards SI afin
denrichir les missions et approfondir les investigations des auditeurs). Ainsi les auditeurs auront
leur disposition via ce produit une hirarchie de guides daudit cohrents, complmentaires, uvrant
dans une mme logique, bass sur une mme approche, couvrant lintgralit de la fonction des SI,
aligns sur les besoins des mtiers et sur les bonnes pratiques des diffrents standards informatiques.
86
Reste que dans ce cas de stage on sest focalis seulement sur le volet audit de cadre de rfrence
Cobit4.1, ce qui ne reflte pas ses autres incarnations. En ralit Cobit4.1 offre un systme global de
contrle, de management et de gouvernance des SI. Il considre les exigences des mtiers au niveau
le plus gnral en alignant les objectifs informatiques sur les objectifs mtiers dans le cadre dune
gouvernance des SI qui sharmonise avec la gouvernance gnrale de lentreprise. Cest encore au
moyen des objectifs de contrle que cet ajustement prendra sa forme entre les cinq domaines de
gouvernance des SI et les activits de contrle dfinis par le cadre gnrale de contrle interne
COSO. Cobit permettra aussi via un langage commun et ses multiple lments de management, de
gouvernance et daudit, dtablir une plateforme de communication entre les diffrents intervenants :
dirigeants, managers, oprationnels et auditeurs afin de mieux matriser les SI et daccentuer leur
rle mergeant en tant que crateur de valeur .
Sur ce, une recommandation que je propose aux responsable de la STEG, cest dessayer
dimplmenter ce cadre fdrateur de contrle et daudit afin de mieux gouverner leurs SI en raison
de prcdents avantages cits et aussi pour que le produit de ce prsent travail uvrera dans un
contexte appropri.
87
Bibliographie
88
Annexes
89
90
91
Table des liens entre les activits de laudit des SI et les composants Cobit4.1
92
Correspondances entre les phases daudit Cobit 4.1 et ceux de l IAASB Assurance
Framework
93
Alignement des processus Cobit4.1 avec les principaux standards et normes informatiques
94
Description
Objectifs de contrle
Cette mission consiste vrifier :
La stratgie de scurit et larchitecture de linformation, c.--d. :
que les donnes, les services et les transactions critiques (en se basant
sur les exigences et les risques mtiers) sont bien identifis et
PO1 : 1.2, 1.4,
considres dans la stratgie de scurit de lentreprise
1.6
que les exigences de scurit (telles que : lauthenticit, la
PO2 : 2.2, 2.3
confidentialit, la disponibilit, la limitation daccs, la validit, le
PO3 : 3.4
sauvegarde et la rcupration) des donnes sont prises en compte
PO4 : 4.9
dans ltablissement de la stratgie globale de scurit des SI
PO7 : 7.3
que les responsabilits ne sont pas attribuer une seule personne
que les ressources ncessaires pour exercer les responsabilits sont
disponibles et efficaces
La communication des objectifs et les orientations de gestion en matire de
scurit c.--d. :
que les rgles de base rpondant aux exigences et aux incidents de
DS5 : 5.2
la scurit des SI
que les directives de scurit sont en ligne avec les objectifs de
l'entreprise
La scurit des diffrents niveaux de service : c.--d. :
AI5: 5.2
que des exigences de scurit et des revus rguliers de la conformit
DS1 : 1.3, 1.5,
des niveaux de services internes et les services fournis par des tiers
1.6
sont tablis et respects
DS2 : 2.4
Cette mission consiste vrifier :
le processus de gestion des risques informatiques de lentreprise et les
mesures envisages par la direction de lentreprise
lexistence dun plan daction afin de rpondre aux risques potentiels
le niveau dimplication du personnel dans le processus de gestion des
risques des SI
Cette mission consiste vrifier :
le degr dimplication du personnel aux politiques de scurit tablies par
la direction
les comptences du personnel en matire de scurit gnrale des SI
quaucune tache cl de scurit ne soit attribue une seule personne
procdures quotidiennes
quune documentation et des formations sont fournies aux membres du
applications
PO2 : 2.3
PO7 : 7.4
PO9 : 9.1, 9.2,
9.3, 9.4, 9.5, 9.6
AI1 : 1.1, 1.2
PO4 : 4.13
PO7 : 7.1, 7.2,
7.5, 7.6, 7.7
AI4 : 4.1, 4.2,
4.3, 4.4
AI7 : 7.1
95
AI2: 2.8
AI3: 3.4
AI6: 6.1, 6.2
AI7: 7.2, 7.4, 7.6
AI6: 6.2, 6.3, 6.4,
6.5
PO8: 8.3
AI3: 3.4
AI7: 7.2, 7.4, 7.6,
7.8
que les rsultats des tests faits rpondent aux exigences mtiers et aux
politiques et procdures de lentreprise en matire de scurit des SI
Cette mission consiste vrifier :
que les fournisseurs de services tiers respectent les politiques de
scurit de lentreprise et emploient des personnes qualifis
la dpendance aux fournisseurs des services tiers est bien gre par
les politiques et les procdures de scurit de lentreprise
que les contrats avec les fournisseurs de services tiers permettent
dexcuter des missions daudit et des revues (SysTrust, SAS70,
ISA402)
Cette mission consiste vrifier :
AI5 : 5.3
DS2 : 2.3, 2.4
SE2 : 2.6
PO2: 2.3
PO9: 9.3, 9.4
DS4: 4.1, 4.3
DS5: 5.6
DS10: 10.1, 10.2,
10.3
DS12: 12.5
DS5: 5.11
AC6
DS5: 5.9
96
DS5: 5.11
DS11: 11.6
AC1, AC2
AC3, AC4
AC5, AC6
DS11: 11.6
AC5
AC6
DS4: 4.9
DS11: 11.2
DS12: 12.2,
SE2: 2.5
SE4: 4.7
PO3: 3.3
SE3: 3.1, 3.2, 3.3,
3.4
Audit de la scurit
physique
Audit de la gouvernance
des dispositifs de scurit
97
Prsentation :
Ce produit (le gnrateur de guide daudit) prsente une implmentation de lapproche Cobit4.1 en matire daudit des
SI. Cest un outil qui permet dautomatiser certains des travaux et tches des auditeurs des SI en leur proposant des
modles de cadrage des missions et la possibilit de gnrer des guides (questionnaires) daudit spcifiques bases sur les
conseils et les procdures dvaluation Cobit. Il offre aussi des tables de mappages permettant dlargir les champs des
investigations par rfrence un ensemble de standards informatiques et normes internationales.
Barre de navigation :
Cette barre permet de naviguer entre les diffrents composants de gnrateur de guides daudit :
98
Mode d'emploi :
Le point dentre afin de gnr un guide daudit (un questionnaire) spcifique une mission bien dtermine cest la
cart cl ou la carte des correspondances Missions - Objectifs de contrle . Cette carte prsente lensemble des
objectifs de contrles Cobit groups par processus et domaine (en reproduction au modle processus de Cobit4.1).
Cette carte offre au moyen dune liste droulante un ensemble de missions organises hirarchiquement (des missions
traitant la scurit des SI, un thme choisi lors de ce stage titre dexemple afin dlaborer ce gnrateur de guides
daudit). Dans cette premire version, cette liste comporte cet ensemble rduit de missions, cependant elle peut tre
largie ultrieurement suite des travaux de cadrage portant sur dautres thmes ou lments des SI.
99
Cette carte cl offre des modles de cadrage, comme pour le cas de lexemple choisi Sous-mission : Audit de la scurit
des applications et infrastructures . Le processus de cadrage selon lapproche daudit du cadre de rfrence Cobit4.1
consiste dterminer pour chaque mission les objectifs de contrles Cobit les plus critiques, dont les valuations vont
permettre de dcerner les faiblesses des dispositifs de contrle mis en place et associes au lment dtude ainsi que les
risques potentiels correspondant. Ces modles offrent aux auditeurs des SI des pistes suivre, nanmoins ceux-ci peuvent
les affiner en fonction de leurs besoins en audit et les ressources de lentreprise dployes.
Lavantage de cette application, ne sarrte pas au fait doffrir des modles de cadrage des missions daudit, mais aussi
de gnrer des guides daudit sous forme de questionnaires spcifiques selon la mission slectionne. Ces questionnaires
vont tre gnrer partir du guide gnrique (la plateforme dcrite auparavant).
100
Les questionnaires ainsi gnrs vont prsenter aux auditeurs un ensemble des valuations sous forme de questions
inspirs des diffrents conseils et procdures dvaluation de guide daudit Cobit4.1 et qui ont t tablis par des experts
en matire des SI. Ces questionnaires vont assister les auditeurs lors de leurs activits dinvestigation tout en leur offrant
plusieurs indices et conseils issus des diffrents lments de cadre de rfrence Cobit4.1 et ses divers publications, tels
que : les descriptions des processus et des leurs objectifs de contrle correspondant, les responsables cls des processus
concerns par la mission en cours, des conseils et des mthodes daudit ( titre indicatif)
En plus des questionnaires gnrs sur la base des modles de cadrage prdfinis, un ensemble de tables de mappage
seront aussi prsents afin de donner aux auditeurs la possibilit dapprofondir leurs investigations en se rfrant des
standards et normes plus dtaills. En fait le cadre de rfrence Cobit est un cadre fdrateur qui harmonie et unie un
ensemble de bonnes pratiques dautres rfrentiels au moyen de ses objectifs de contrle.
101
Remerciements
Sommaire
Introduction
I. Le systme dinformation
1) Notion de systme dinformation
9
9
10
11
12
14
14
16
20
20
22
24
24
25
26
30
30
1) Prsentation de lISACA
30
30
32
1) Description gnrale
32
35
37
39
39
42
a) La phase de planification
43
b) La phase de cadrage
44
c) La phase dexcution
47
102
51
52
I. Prsentation de la STEG
52
1) Historique et volution
52
2) Chiffres cls
53
3) Organigramme
55
55
55
57
58
Chapitre4 : laboration dun gnrateur de guides daudit sur la base de lapproche Cobit 4.1
59
I. tats des lieux de la STEG en matire de management et daudit des systmes dinformation
59
59
2) Lapproche de la direction daudit interne de la STEG en matire daudit des systmes dinformation
61
63
1) Prsentation gnrale
63
64
68
68
68
70
78
82
Conclusion
85
Bibliographie
88
Annexes
89
90
Annexe 2 : Tableau descriptif des sous-missions de la mission gnrale Audit de la scurit globale des SI
95
98
102
103